CISA cảnh báo việc khai thác lỗ hổng trong công cụ giám sát mã nguồn mở
An toàn thông tin - Ngày đăng : 14:00, 27/02/2022
Lỗ hổng có số hiệu là CVE-2022-23131 và CVE-2022-23134, có thể bị khai thác để bỏ qua xác thực và chiếm quyền quản trị sau đó cho phép kẻ tấn công thực hiện các lệnh tùy ý.
Zabbix là một nền tảng giám sát mã nguồn mở được các tổ chức triển khai trong mạng của mình để thu thập và tập trung dữ liệu như tải CPU và lưu lượng mạng.
Lỗ hổng được nhà nghiên cứu bảo mật của nhà cung cấp các giải pháp bảo mật và chất lượng mã SonarSource phát hiện. Hai lỗ hổng này có liên quan đến cách Zabbix lưu trữ dữ liệu giao tiếp trên máy khách và có thể gây ra sự xâm phạm toàn bộ mạng.
Dường như không có thông tin về các cuộc tấn công khai thác các lỗ hổng này trong thực tế nhưng các bằng chứng chứng minh tính khả thi của việc khai thác (PoC) đã được công khai và SonarSource lưu ý rằng Zabbix là "mục tiêu cao cấp cho các tác nhân đe dọa" đồng thời một công ty mua lại khai thác giấu tên đã bày tỏ quan tâm đến Zabbix.
Các lỗ hổng bảo mật đã được xác định trong Zabbix Web Frontend, ảnh hưởng đến tất cả các phiên bản trước 5.4.8, 5.0.18 và 4.0.36. Cả hai lỗ hổng đều đã được xử lý trong Zabbix Web Frontend 6.0.0beta2, 5.4.9, 5.0.19 và 4.0.37.
Tuy nhiên, những lỗ hổng chỉ ảnh hưởng đến các trường hợp có xác thực đăng nhập một lần (SSO) bằng ngôn ngữ đánh dấu đảm bảo an toàn (Security Assertion Markup Language - SAML) được bật và có thể bị khai thác mà không cần biết trước về mục tiêu.
Sau khi bỏ qua xác thực và chuyển đặc quyền cho quản trị viên, kẻ tấn công có thể tận dụng những lỗ hổng trước đó để thực thi các lệnh trên những phiên bản Zabbix Server và Zabbix Agent đã liên kết. SonarSource giải thích rằng việc thực thi các lệnh hoàn toàn có thể xảy ra trên máy chủ.
CVE-2022-23131 tồn tại vì mặc dù Zabbix có cơ chế xác thực người dùng khi truy cập dữ liệu từ phía máy khách nhưng hàm đó không bao giờ được gọi phiên đăng nhập (chứa thuộc tính người dùng) được tạo ra khi sử dụng xác thực SAML.
SonarSource cho biết: "Sau khi được xác thực là quản trị viên trên bảng điều khiển, những kẻ tấn công có thể thực hiện các lệnh tùy ý trên bất kỳ máy chủ Zabbix nào được đính kèm và trên Zabbix Agents (chương trình zabbix dùng để cài đặt lên các máy chủ hoặc thiết bị phía máy khách) nếu được cho phép".
Cũng là một phiên sử dụng không an toàn, CVE-2022-23134 được phát hiện trong setup.php, một tập lệnh chỉ người dùng đã xác thực và có đặc quyền cao mới có thể truy cập được. Vì chức năng xác thực cũng không được gọi ở đây nên kẻ tấn công có thể chạy lại bước mới nhất của tiến trình cài đặt và tạo ra tệp cấu hình giao diện Zabbix Web Frontend.
SonarSource giải thích rằng: "Vì thế mà các tệp tin cấu hình hiện có có thể bị kẻ tấn công ghi đè ngay cả khi phiên bản Zabbix Web Frontend đã ở trạng thái hoạt động. Bằng cách trỏ đến cơ sở dữ liệu dưới sự kiểm soát của chúng, những kẻ tấn công sau đó có thể chiếm quyền truy cập vào bảng điều khiển bằng một tài khoản có đặc quyền cao".
Mặc dù không thể khai thác lỗ hổng này để tiếp cận Zabbix Agents, nhưng Zabbix Server vẫn có thể bị truy cập theo cách này, vì nó sử dụng cùng cơ sở dữ liệu với Zabbix Web Frontend. Theo SonarSource, kẻ tấn công có thể xâu chuỗi lỗ hổng này với một lỗ hổng thực thi mã để chiếm cơ sở dữ liệu và di chuyển theo chiều ngang trên mạng.
Các bản vá cho những lỗ hổng này đã được phát hành vào cuối tháng 12/2021 với đầy đủ thông tin kỹ thuật được công bố vào tuần trước. Hiện nay, CISA cảnh báo rằng hai lỗ hổng này đã bị khai thác phổ biến và kêu gọi các tổ chức cập nhật lên phiên bản Zabbix Web Frontend đã được xác định càng sớm càng tốt./.