La plataforma de monitoreo de código abierto Zabbix permite recopilar, centralizar y rastrear valores o métricas de dispositivos que se encuentran conectados en nuestra red local o remota.
Se han descubierto 2 vulnerabilidades que permitirían a un atacante saltarse la autenticación y ejecutar código arbitrario en un equipo monitoreado.
CVE-2022-23131 (Bypass de la Autenticación SAML SSO)
Esta vulnerabilidad es la más crítica ya que recibe una gravedad de 9.1, esta permite a un atacante obtener acceso debido a la falta de validación en cookies de sesión. Es necesario que el Inicio de Sesión Único (Single Sing-On) se encuentre habilitado y que adicionalmente trabaje con SAML (Security Assertion Markup Language). Por defecto este modo no se encuentra habilitado pero existen organizaciones que lo requieren y en los cuales se podría explotar esta vulnerabilidad.
Comúnmente los atacantes utilizan los usuarios Admin e Invitados para realizar este tipo de trabajos. Una vez que el atacante tiene acceso, es posible que pueda ejecutar códigos arbitrarios a los dispositivos que se encuentran monitoreados si la siguiente configuración se encuentra en el agente:
AllowKey=system.run[*]
Fuente: https://www.youtube.com/watch?v=5dci1i6Fq3M&t=33s
CVE-2022-23134 (Reconfiguración de Instancias)
Vulnerabilidad con riesgo medio, permite la reconfiguración de una instancia en Zabbix mediante el asistente ‘setup.php‘ lo que implicaría que algunos pasos de dicho archivo sean accesibles a usuarios no autenticados, incluso, un atacante podría pasar varios controles de paso y cambiar la configuración del Frontend de Zabbix.
Fuente: https://www.youtube.com/watch?v=-2wDXMck6A8&t=53s
Recomendaciones
Actualizar todas las instancias que ejecutan Zabbix Web Frontend a las versiones 6.0.0beta2, 5.4.9, 5.0.19 o 4.0.37.
Para mayor información:
- https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage
- https://portswigger.net/daily-swig/amp/critical-vulnerabilities-in-zabbix-web-frontend-allow-authentication-bypass-code-execution-on-servers
- https://unaaldia.hispasec.com/2022/02/vulnerabilidad-en-zabbix-permitia-acceso-admin-sin-autenticacion.html