在流行的开源监控解决方案Zabbix中发现了一个严重的安全漏洞，可能允许攻击者完全控制受影响的实例。该漏洞被标识为CVE-2024-42327，影响多个版本的Zabbix，并被分配了9.9的CVSS评分，表明其严重性。

SQL注入漏洞存在于Zabbix前端的CUser类中，特别是在addRelatedObjects函数中。

这个函数被CUser.get函数调用，任何拥有API访问权限的用户都可以访问。

这个漏洞特别令人担忧的是，即使是拥有默认用户角色或任何提供API访问权限的角色的非管理员用户账户，也可以利用这个漏洞。

安全研究员Mark Rakoczi通过HackerOne漏洞赏金平台发现并报告了这个漏洞。漏洞影响Zabbix版本6.0.0至6.0.31、6.4.0至6.4.16和7.0.0。

技术分析

成功利用这个漏洞可能导致严重后果，包括：

• 未经授权访问Zabbix数据库
• 敏感信息泄露
• 修改或删除关键监控数据
• 在数据库服务器上执行任意命令
• 在Zabbix系统内提升权限

高CVSS评分反映了对组织监控基础设施和数据机密性可能造成的重大损害。

截至2024年11月28日，Zabbix尚未发布解决此漏洞的补丁。然而，公司已经承认了这个问题，并正在努力修复。

建议Zabbix用户监控官方Zabbix安全通告和更新渠道，以获取补丁信息。

与此同时，安全专家建议实施几种缓解策略：

• 审查并限制API访问权限
• 对Zabbix前端实施额外的访问控制和监控
• 使用Web应用程序防火墙（WAF）规则来检测和阻止潜在的SQL注入尝试
• 定期审计用户角色和权限
• 实施网络分段以限制Zabbix服务器的暴露
• 监控数据库和应用程序日志以寻找可疑活动

鉴于这个漏洞的严重性，使用Zabbix的组织被敦促优先考虑这个问题，并在补丁可用后立即进行修复。

攻击者可能完全控制Zabbix实例的潜力强调了及时行动保护监控基础设施和敏感数据的重要性。

随着情况的发展，Zabbix用户应保持警惕，并遵循官方Zabbix通信渠道的更新和进一步指导，以解决这一重大安全风险。

想了解更多资讯

扫码关注👇

了解更多考试相关

扫码添加上智启元官方客服微信👇