Эксперты обнаружили критическую уязвимость (9,9 балла из 10 возможных по шкале CVSS) в опенсорсном инструменте Zabbix, который используется для мониторинга и сбора телеметрии от различных ИТ-систем в крупных корпоративных сетях, поддерживая сбор данных с рабочих станций, серверов и облачных ресурсов.
Баг позволяет удаленным злоумышленникам получать контроль над серверами Zabbix через API платформы.
Проблема получила идентификатор CVE-2024-42327 и представляет собой SQL-инъекцию. Разработчики Zabbix объясняют, что эксплуатировать эту уязвимость может учетная запись (не являющаяся администратором) на фронтенде Zabbix с ролью User по умолчанию или с любой другой ролью, предоставляющей доступ к API.
«В классе CUser в функции addRelatedObjects существует SQLi. Эта функция вызывается из функции CUser.get, которая доступна каждому пользователю, имеющему доступ к API», — гласит описание уязвимости.
Проблема затрагивает следующие версии Zabbix , которые рекомендуется как можно скорее обновить до безопасных:
• 6.0.0-6.0.31 (исправлено в 6.0.32rc1);
• 6.4.0-6.4.16 (исправлено в 6.4.17rc1);
• 7.0.0 (исправлено в 7.0.1rc1).
Как отмечают специалисты ИБ-компании Qualys, быстрый поиск через Fofa выявил более 83 000 серверов Zabbix, доступных через интернет и уязвимых перед CVE-2024-42327.
