VNG Cloud Logo

CVE-2024-22120: Zabbix Server Audit Log Time-Based SQL Injection Vulnerability

Severity: Critical

CVSS Score: 9.1

Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Mô tả:

Zabbix là một công cụ giám sát mã nguồn mở, thu thập, lưu trữ, quản lý và phân tích thông tin từ cơ sở hạ tầng CNTT. Zabbix có thể giám sát nhiều thành phần CNTT khác nhau, bao gồm networks, servers, virtual machines (VMs) và cloud services. Zabbix cũng cung cấp các tính năng báo cáo và trực quan hóa dữ liệu có thể truy cập thông qua giao diện web.

Zabbix Server bị phát hiện lỗ hổng SQL injection mã định danh CVE-2024-22120. Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công từ xa thực thi các truy vấn SQL tùy ý, truy xuất cơ sở dữ liệu, nâng cao quyền hạn lên admin và thực thi mã từ xa. 

Điều kiện tấn công là attacker có quyền truy cập low-privilege user và thực thi scripts. Do Zabbix có thể thực hiện lệnh cho các script được cấu hình, sau khi lệnh được thực thi, kết quả sẽ được ghi chú vào "Audit Log". Do trường "clientip" không được làm sạch nên attacker có thể chèn SQL vào "clientip" và khai thác lỗi time-based blind SQL injection.

Hiện tại, chưa có thông tin về việc lỗ hổng này đã bị khai thác trong thực tế, nhưng với mức độ nguy hiểm cao và đã có PoC khai thác, việc vá lỗ hổng ngay lập tức là cần thiết.

Phiên bản bị ảnh hưởng:

  • Zabbix Server các phiên bản từ 6.0.0 – 6.0.27

  • Zabbix Server các phiên bản từ 6.4.0 – 6.4.12

  • Zabbix Server các phiên bản từ 7.0.0alpha1 – 7.0.0beta1

Phiên bản vá:

  • Zabbix Server phiên bản 6.0.28rc1

  • Zabbix Server phiên bản 6.4.13rc1

  • Zabbix Server phiên bản 7.0.0beta2

Affected ProductAffected VersionsFixed Version
Zabbix Server6.0.0 – 6.0.276.0.28rc1
Zabbix Server6.4.0 – 6.4.126.4.13rc1
Zabbix Server7.0.0alpha1 – 7.0.0beta17.0.0beta2

Cách kiểm tra và khắc phục

Các quản trị viên hệ thống cần nhanh chóng áp dụng các biện pháp phòng ngừa và khắc phục:

  1. Kiểm tra lỗ hổng

    • Xác định phiên bản Zabbix Serve đang sử dụng, nếu nằm trong phiên bản bị ảnh hưởng thì cần khắc phục ngay lập tức.

  2. Khắc phục

    • Tải xuống và cài đặt phiên bản Zabbix Server 6.0.28rc1, 6.4.13rc1, hoặc 7.0.0beta2 từ trang chủ Zabbix

  3. Biện pháp bổ sung:

    • Kiểm tra và giám sát nhật ký hệ thống để phát hiện các dấu hiệu bất thường hoặc các cuộc tấn công đã xảy ra.

    • Liên hệ SOC nếu nghi ngờ khả năng hệ thống bị tấn công.

Tham khảo: