Actief aangevallen lek in Zabbix-servers maakt overnemen netwerken mogelijk

[Captain Kirk]

Aanvallers maken op dit moment actief misbruik van kwetsbaarheden in Zabbix om servers waarop de monitoringsoplossing draait over te nemen. Iets wat grote gevolgen voor bedrijven en organisaties kan hebben, aangezien het volledige overname van netwerken mogelijk maakt.

Zabbix is een oplossing voor het monitoren van de it-infrastructuur, zoals netwerken, servers, virtual machines en clouddiensten. Het is vergelijkbaar met oplossingen als Pandora FMS en Nagios. Vanwege de populariteit, features en rol in het netwerk is Zabbix een aantrekkelijk doelwit voor aanvallers, aldus securitybedrijf SonarSource. Het bedrijf ontdekte een kritieke kwetsbaarheid in de monitoringsoplossing waardoor aanvallers beheerderstoegang tot de Zabbix-server kunnen krijgen en zelfs volledige netwerken kunnen overnemen.

Op Zabbix-servers waar SAML SSO-authenticatie is ingeschakeld, wat niet standaard is, is het mogelijk voor aanvallers om de authenticatie te omzeilen en beheerder te worden. Dit wordt veroorzaakt door een onveilige manier waarop Zabbix op clients sessiedata opslaat. "De authenticiteit van de sessie wordt nooit gevalideerd wanneer andere velden dan sessionid worden benaderd. Aangezien cookies volledig worden beheerd door clients, hebben ze gewoon controle over de sessie", aldus de onderzoekers.

Naast het feit dat SAML SSO-authenticatie moet zijn ingeschakeld, dient de aanvaller ook de gebruikersnaam van een Zabbix-gebruiker te weten. Dat is volgens de onderzoekers geen probleem, aangezien de Zabbix-frontend standaard met een Admin-gebruiker wordt geconfigureerd. De impact van de kwetsbaarheid, aangeduid als CVE-2022-23131, is op een schaal van 1 tot en met 10 met een 9.1 beoordeeld.

Zodra aanvallers als beheerder op de Zabbix-server zijn ingelogd kunnen ze niet alleen willekeurige code op de Zabbix-server uitvoeren, maar ook op alle clients waarop de agent draait. Dit is de software waarmee Zabbix andere systemen monitort. Het uitvoeren van code via de agent zou wel moeten zijn geconfigureerd, wat standaard niet het geval is. Een andere mogelijkheid om clients via de agent aan te vallen is via een andere kwetsbaarheid in de Zabbix-software (CVE-2021-46088).

SonarSource ontdekte ook een tweede probleem (CVE-2022-23134) waardoor het bestand setup.php niet alleen toegankelijk is voor super-administrators, maar ook voor ongeauthenticeerde gebruikers. Daardoor is het mogelijk om configuratiebestanden te overschrijven, ook al draait de Zabbix Web Frontend al. Door de configuratie naar een malafide database te laten wijzen kunnen aanvallers zo toegang tot het Zabbix-dashboard krijgen.

De kwetsbaarheden werden op 18 november vorig jaar aan Zabbix gerapporteerd. Op 14 december verscheen een update, maar die bleek de problemen niet te verhelpen en kon worden omzeild. Op 22 december deed Zabbix een tweede poging die wel afdoende bleek. Op 29 december bracht het bedrijf een advisory uit. SonarSource publiceerde op 16 februari de details van beide kwetsbaarheden.

Gisteren waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van beide kwetsbaarheden en heeft federale overheidsinstanties in de VS verplicht de updates voor 8 maart te installeren.

 

bron: https://www.security.nl