Múltiples Vulnerabilidades en Zabbix permiten ataques de tipo XSS, DoS y SQL Injection

Zabbix es una plataforma de monitoreo de código abierto utilizada para rastrear el estado de diversos servicios de red, servidores y hardware de red. Recientemente, ha corregido cinco vulnerabilidades de seguridad recientemente divulgadas, que van desde filtraciones de información de baja gravedad hasta riesgos críticos de inyección SQL (SQL Injection) y denegación de servicio (DoS).

CVE-2024-36465 (CVSS 8.6): Esta vulnerabilidad de inyección SQL se ubicada en el parámetro groupBy de la API de Zabbix. Un usuario de Zabbix con privilegios bajos, pero con acceso a la API puede explotar esta vulnerabilidad en include/classes/api/CApiService.php para ejecutar comandos SQL arbitrarios a través del parámetro groupBy.

CVE-2024-45699 (CVSS 7.5): La vulnerabilidad reside en el endpoint /zabbix.php?action=export.valuemaps, siendo del tipo Cross-Site Scripting (XSS) a través del parámetro backurl. Esto permite a un atacante inyectar código JavaScript malicioso que se ejecutará en el navegador de la víctima.

CVE-2024-45700 (CVSS 6.0): Esta vulnerabilidad es del tipo Denegación de Servicio (DoS) en el Servidor y Proxy de Zabbix. Un atacante puede enviar solicitudes especialmente diseñadas al servidor, lo que provocará que el servidor asigne una cantidad excesiva de memoria y realice operaciones de descompresión que consumen mucho CPU, lo que podría llevar a una caída del servicio.

CVE-2024-36469 (CVSS 2.3): Esta vulnerabilidad del tipo Login Timing Discrepancy (Enumeración de Usuarios). El tiempo de ejecución para un intento de inicio de sesión fallido difiere cuando se utiliza un nombre de usuario inexistente en comparación con el uso de uno existente. Esto podría permitir a un atacante determinar la existencia de nombres de usuario válidos en el sistema.

CVE-2024-42325 (CVSS 2.1): Esta vulnerabilidad del tipo Filtración de Información en la API de Zabbix, menciona que la función user.get de la API de Zabbix devuelve todos los usuarios que comparten un grupo común con el usuario que realiza la llamada. Esto incluye información como medios y otros datos, como intentos de inicio de sesión, lo que podría exponer información sensible.

Productos afectados y Solución:

CVE	PRODUCTOS AFECTADOS	SOLUCIÓN
CVE-2024-36465	API de Zabbix versiones 7.0.0-7.0.7 y 7.2.0-7.2.1	Actualizar a 7.0.8rc2 y 7.2.2rc1.
CVE-2024-45699	Interfaz web de Zabbix, versiones 6.0.0-6.0.36, 6.4.0-6.4.20 y 7.0.0-7.0.6	Actualizar a 6.0.37rc1, 6.4.21rc1 y 7.0.7rc1.
CVE-2024-45700	Servidor y Proxy de Zabbix, versiones 6.0.0-6.0.38, 7.0.0-7.0.9 y 7.2.0-7.2.3	Actualizar a 6.0.39rc1, 7.0.10rc1 y 7.2.4rc1.
CVE-2024-36469	Interfaz web de Zabbix, versiones 5.0.0-5.0.45, 6.0.0-6.0.37, 7.0.0-7.0.8 y 7.2.0-7.2.2.	Actualizar a 5.0.46rc1, 6.0.38rc1, 7.0.9rc1 y 7.2.3rc1.
CVE-2024-42325	API de Zabbix, versiones 5.0.0-5.0.45, 6.0.0-6.0.37, 7.0.0-7.0.8 y 7.2.0-7.2.2	Actualizar a 5.0.46rc1, 6.0.38rc1, 7.0.9rc1 y 7.2.3rc1.

Recomendaciones:

Actualizar Zabbix a la versión más reciente para mitigar las vulnerabilidades identificadas.

Configurar políticas de seguridad adecuadas para limitar el acceso a la interfaz de administración de Zabbix.

Monitorear los registros del sistema en busca de actividades sospechosas o intentos de explotación.

Educar a los usuarios sobre las mejores prácticas de seguridad para prevenir ataques de ingeniería social.

Referencias: