CISA cảnh báo về các lỗ hổng được khai thác tích cực trong các máy chủ Zabbix
Thông báo từ Cơ quan An ninh và Cơ sở Hạ tầng An ninh Mạng (CISA) của Hoa Kỳ cảnh báo rằng các tác nhân đe dọa đang khai thác các lỗ hổng trong công cụ mã nguồn mở Zabbix để giám sát mạng, máy chủ, máy ảo và dịch vụ đám mây.
Cơ quan này đang yêu cầu các cơ quan liên bang vá bất kỳ máy chủ Zabbix nào gặp các vấn đề bảo mật được theo dõi là CVE-2022-23131 và CVE-2022-23134, để tránh “rủi ro đáng kể” từ các tác nhân mạng độc hại. Cảnh báo tương tự cũng đến từ Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) của Ukraine, trong đó lưu ý rằng một trong những lỗ hổng có điểm số nghiêm trọng nghiêm trọng là 9,1 trên 10.
Khai thác lỗ hổng có sẵn công khai
Mã khai thác Proof-of-concept cho CVE-2022-23131 ảnh hưởng đến Zabbix Frontend đã được nhiều nhà nghiên cứu chia sẻ công khai bắt đầu từ ngày 21 tháng 2. Kẻ tấn công lợi dụng vấn đề bảo mật này có thể bỏ qua xác thực trên các máy chủ có Ngôn ngữ đánh dấu xác nhận bảo mật được định cấu hình (SAML, một trạng thái không mặc định.
SAML là một tiêu chuẩn mở cung cấp một điểm xác thực duy nhất (đăng nhập một lần) trao đổi dữ liệu giữa nhà cung cấp danh tính và nhà cung cấp dịch vụ. Trung tâm An ninh mạng Quốc gia ở Hà Lan cảnh báo rằng lỗ hổng đang được khai thác tích cực và nó có thể cho phép thực thi mã từ xa với đặc quyền gốc.
Nhóm Ứng cứu Khẩn cấp Máy tính Ukraine (CERT) cũng đã công bố cảnh báo về nguy cơ khiến các máy chủ Zabbix chưa được vá hai lỗ hổng, đặc biệt là CVE-2022-23131.
“Nếu xác thực SAML SSO được bật (không phải theo mặc định), thì kẻ tấn công có thể sửa đổi dữ liệu phiên vì thông tin đăng nhập của người dùng được lưu trữ trong phiên không được xác minh. Điều này cho phép kẻ tấn công chưa được kiểm tra khai thác lỗ hổng này để có được đặc quyền và giành quyền truy cập của quản trị viên vào Zabbix Frontend ”- Ukraine CERT
Lỗ hổng thứ hai, CVE-2022-23134, là vấn đề kiểm soát truy cập không đúng có mức độ nghiêm trọng trung bình, cho phép kẻ tấn công thay đổi tệp cấu hình (tập lệnh setup.php) và giành quyền truy cập vào bảng điều khiển với các đặc quyền nâng cao.
Hai lỗ hổng được phát hiện bởi các nhà nghiên cứu từ SonarSource, người đã công bố phát hiện của họ trong một báo cáo kỹ thuật vào đầu tháng này, lưu ý rằng việc khai thác CVE-2022-23131 là “đơn giản, đặc biệt là vì Zabbix Web Frontend được tự động định cấu hình với người dùng có đặc quyền cao có vai trò Quản trị viên (Admin)."
Các nhà bảo trì của dự án Zabbix đã phát hành các bản cập nhật (phiên bản 5.4.9, 5.0.9 và 4.0.37) giải quyết cả hai vấn đề và chúng tôi khuyên bạn nên cài đặt chúng, đặc biệt là trong bối cảnh khai thác tích cực.
CISA đã thêm các lỗ hổng vào Danh mục các lỗ hổng được khai thác đã biết, đại diện cho một vectơ tấn công thường xuyên và đang yêu cầu các cơ quan liên bang cài đặt các bản vá có sẵn trước ngày 8 tháng 3.
| CVE ID | Tên lỗ hổng | Due Date |
|---|---|---|
| CVE-2022-23131 | Zabbix Frontend Authentication Bypass Vulnerability | 3/8/2022 |
| CVE-2022-23134 | Zabbix Frontend Improper Access Control Vulnerability | 3/8/2022 |
Nguồn BleepingComputer
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA