Критическая уязвимость в Zabbix: что известно и как защититься

Компания Zabbix недавно 27 ноября 2024 года предупредила об обнаружении нескольких серьёзных уязвимостей в своём решении для мониторинга корпоративных сетей. Самой опасной из них является CVE-2024-42327, которая получила высокий балл CVSS 9.9 из 10 и затрагивает популярные версии Zabbix. Эта уязвимость позволяет злоумышленникам осуществлять произвольные SQL-инъекции, что потенциально может привести к компрометации данных, повышению привилегий и полному контролю над системой.

Описание CVE-2024-42327

Проблема кроется в функции addRelatedObjects класса CUser, которая вызывается из метода CUser.get и доступна всем пользователям, имеющим права работы с API. Даже учётные записи без административных привилегий, обладающие ролью пользователя по умолчанию или любой другой ролью с доступом к API, могут использовать уязвимость для выполнения вредоносных SQL-запросов.

Исследователи из компании Qualys обнаружили, что эксплуатация CVE-2024-42327 угрожает более чем 83 000 систем, открытых для доступа в интернете. Это создает значительный риск как для конфиденциальности данных, так и для стабильности работы сетевой инфраструктуры.

Другие уязвимости

Кроме CVE-2024-42327, были устранены ещё две важные проблемы безопасности:

• CVE-2024-36466 (CVSS 8.8): позволяет злоумышленникам обойти аутентификацию, подписав поддельный файл cookie zbx_session, чтобы войти в систему с правами администратора.
• CVE-2024-36462 (CVSS 7.5): уязвимость неконтролируемого потребления ресурсов, которая может привести к состоянию отказа в обслуживании (DoS).

Какие версии затронуты?

Уязвимости затрагивают следующие версии Zabbix:

• 6.0.0–6.0.31
• 6.4.0–6.4.16
• 7.0.0

Решение проблемы

Исправления для уязвимостей были выпущены в следующих версиях Zabbix:

• 6.0.32rc1
• 6.4.17rc1
• 7.0.1rc1

Эти патчи устраняют перечисленные уязвимости и обеспечивают стабильность системы.

Риски и последствия

Если уязвимости останутся неисправленными, злоумышленники могут:

1. Получить доступ к конфиденциальным данным.
2. Повысить свои привилегии, став администраторами системы.
3. Вывести серверы Zabbix из строя, вызвав отказ в обслуживании.

Рекомендации по безопасности

Эксперты по информационной безопасности настоятельно рекомендуют администраторам Zabbix:

1. Немедленно обновить систему до одной из исправленных версий.
2. Ограничить доступ к API, предоставляя его только тем, кто действительно в нём нуждается.
3. Проводить регулярные аудиты безопасности и мониторинг систем.

Заключение

Уязвимость CVE-2024-42327, наряду с другими проблемами, подчеркивает важность регулярного обновления программного обеспечения и строгого контроля безопасности. Несмотря на отсутствие информации о случаях эксплуатации данных уязвимостей, меры защиты необходимо принять как можно скорее, чтобы избежать потенциальных атак.