正文

ZABBIX SQL注入漏洞来袭,启明星辰提供解决方案

admin
admin V管理员 /0 评论 /145 阅读
0523
此篇文章发布距今已超过339天,您需要注意文章的内容或图片是否可用!
Zabbix是一个基于WEB界面的企业级开源解决方案,用于提供分布式系统监视和网络监视功能,保证服务器系统的安全运营,便于系统管理员快速定位和解决存在的各种问题。
其主要由两个主要组件构成:Zabbix server和可选的Zabbix agent。其中,Zabbix server能够通过SNMPZabbix agentping、端口监视等方法对远程服务器和网络状态进行监视和数据收集,可在LinuxSolarisHP-UXAIXFree BSDOpen BSDOS X等多种平台上运行。

漏洞详情

2024年5月21日,启明星辰金睛安全研究团队监控到Zabbix SQL注入漏洞(CVE-2024-22120)情报。该漏洞存在于audit.c的zbx_auditlog_global_script函数中,由于clientip字段未经清理,可能导致SQL时间盲注攻击。经过身份验证的攻击者可利用该漏洞从数据库中获取敏感信息,并可将权限提升为管理员或远程执行代码。

漏洞复现截图

利用管理员sessionkey接管管理员账户

进行cookie替换后刷新页面即可接管zabbix管理员

影响版本

  • 6.0.0 <= Zabbix <= 6.0.27

  • 6.4.0 <= Zabbix <= 6.4.12

  • 7.0.0alpha1 <= Zabbix <= 7.0.0beta1

修复建议

1、官方修复方案

官方已发布安全更新,Zabbix团队发布了补丁以解决版本6.0.28rc1、6.4.13rc1和7.0.0beta2中的漏洞。

地址:https://www.zabbix.com/download

2、启明星辰方案

天阗入侵检测与管理系统、天阗超融合检测探针(CSP)、天阗威胁分析一体机(TAR)、天清入侵防御系统(IPS)、天清Web应用安全网关(WAF)升级到20240523版本即可有效检测或防护该漏洞造成的攻击风险。

END


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om