Fallas explotadas activamente en plataforma de monitoreo Zabbix

 In Blog

El equipo de Ciberseguridad de Netglobalis informa sobre dos fallas explotadas activamente en la plataforma de monitoreo de red Zabbix.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.  Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

Descripción: 

Rastreadas como CVE-2022-23131 y CVE-2022-23134, las dos vulnerabilidades podrían explotarse para eludir la autenticación y obtener privilegios de administrador, lo que luego podría permitir que un atacante ejecute comandos arbitrarios.

Recursos afectados:

SEVERIDAD CRITICA

CVE-2022-23131  [CVSS  de 9.8]

En el caso de instancias donde la autenticación SAML SSO está habilitada (no predeterminada), los datos de la sesión pueden ser modificados por un actor malicioso, debido a que no se verificó el inicio de sesión de un usuario almacenado en la sesión. Un actor malicioso no autenticado puede explotar este problema para aumentar los privilegios y obtener acceso de administrador a Zabbix Frontend. Para realizar el ataque, se requiere que la autenticación SAML esté habilitada y el actor debe conocer el nombre de usuario del usuario de Zabbix (o usar la cuenta de invitado, que está deshabilitada de manera predeterminada).

SEVERIDAD MEDIA

CVE-2022-23134 [CVSS  de 5.3]

Después del proceso de configuración inicial, algunos pasos del archivo setup.php son accesibles no solo para los superadministradores, sino también para los usuarios no autenticados. El actor malicioso puede pasar controles de pasos y potencialmente cambiar la configuración de Zabbix Frontend.

Productos vulnerables

Zabbix Web Frontend y afectan a todas las versiones compatibles del componente anteriores a 5.4.8, 5.0.18 y 4.0.36. Ambas vulnerabilidades se abordaron en Zabbix Web Frontend 6.0.0beta2, 5.4.9, 5.0.19 y 4.0.37.

Mitigación:

Recomendamos encarecidamente que actualice sus instancias que ejecutan Zabbix Web Frontend a 6.0.0beta2, 5.4.9, 5.0.19 o 4.0.37 para proteger su infraestructura. Esto directamente desde sus medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Fuente :

https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage

Recent Posts