關(guān)于zabbix存在SQL注入高危漏洞的安全公告

yh-security 2016-08-31 13:28:27 漏洞播報(bào) 0個(gè)評(píng)論

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了zabbix存在的SQL注入漏洞（CNVD-2016-06408）。攻擊者利用漏洞無(wú)需授權(quán)登錄即可控制zabbix管理系統(tǒng)，或通過(guò)script等功能直接獲取zabbix服務(wù)器的操作權(quán)限，進(jìn)而有可能危害到用戶單位整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。由于zabbix服務(wù)器在境內(nèi)應(yīng)用較為廣泛，有可能誘發(fā)較高的大規(guī)模攻擊風(fēng)險(xiǎn)。

一、漏洞情況分析

zabbix是一個(gè)基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡(luò)監(jiān)視功能的企業(yè)級(jí)開(kāi)源解決方案。由于zabbix默認(rèn)開(kāi)啟了guest權(quán)限，且默認(rèn)密碼為空，導(dǎo)致zabbix的jsrpc中profileIdx2參數(shù)存在insert方式的SQL注入漏洞。攻擊者利用漏洞無(wú)需登錄即可獲取網(wǎng)站數(shù)據(jù)庫(kù)管理員權(quán)限，或通過(guò)script等功能直接獲取zabbix服務(wù)器的操作系權(quán)限。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

二、漏洞影響范圍

漏洞影響較低版本zabbix系統(tǒng)，如已經(jīng)確認(rèn)的2.2.x, 3.0.0-3.0.3版本。根據(jù)CNVD初步普查情況，約有3.5萬(wàn)臺(tái)zabbix服務(wù)器暴露在互聯(lián)網(wǎng)上，其中排名TOP 5的國(guó)家和地區(qū)如下：中國(guó)（24.9%）、美國(guó)（18.8%）、俄羅斯（9.0%）、巴西（8.0%）、德國(guó)（5.4%），在中國(guó)境內(nèi)排名TOP5的省份為：北京（32.6%）、浙江（23.2%）、廣東（11.4%）、上海（7.8%）、江蘇（4.3%）。同時(shí)，根據(jù)CNVD抽樣測(cè)試結(jié)果（樣本數(shù)量>500），zabbix服務(wù)器受漏洞直接影響（驗(yàn)證可攻擊成功）的比例為34.8%，影響比例較高。通過(guò)對(duì)比發(fā)現(xiàn)，在不受漏洞影響的服務(wù)器樣本中，有一部分服務(wù)器Header字段中不存在zbx_sessionid信息，對(duì)于防范攻擊有一定的幫助。

三、漏洞修復(fù)建議

用戶可通過(guò)禁用guest賬戶緩解該漏洞造成的威脅。目前，廠商已發(fā)布新版本修復(fù)此漏洞，CNVD建議用戶關(guān)注廠商主頁(yè)，升級(jí)到最新版本。

附：參考鏈接：

https://support.zabbix.com/browse/ZBX-11023

http://www.zabbix.com/download.php（官方下載頁(yè)面）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-06408

（注：CNVD成員單位綠盟科技公司、杭州安恒公司向秘書(shū)處提供了漏洞原理分析情況

上一篇：Struts2 S2-037漏洞預(yù)警
下一篇：Red Hat Update for java-1.6.0-openjdk (RHSA-2016:1776 )

漏洞播報(bào)

關(guān)于zabbix存在SQL注入高危漏洞的安全公告

聯(lián)系我們：cert@chaosec.com