Liên kết web site
Thống kê truy cập
  • Đang truy cập: 1
  • Hôm nay: 1
  • Trong tuần: 1
  • Tháng hiện tại: 1
  • Tổng lượt truy cập: 1
Đăng nhập
06/12/2024
Cảnh báo Lỗ hổng SQL Injection nghiêm trọng (CVE-2024-42327) trong Zabbix
Zabbix, một công cụ giám sát hạ tầng Công nghệ thông tin mã nguồn mở phổ biến, vừa được phát hiện chứa một lỗ hổng bảo mật nghiêm trọng (CVE-2024-42327) với điểm CVSS 9.9. Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền và chiếm quyền kiểm soát hoàn toàn hệ thống Zabbix, từ đó đe dọa dữ liệu nhạy cảm cũng như các hệ thống liên quan.

Zabbix, một công cụ giám sát hạ tầng Công nghệ thông tin mã nguồn mở phổ biến, vừa được phát hiện chứa một lỗ hổng bảo mật nghiêm trọng (CVE-2024-42327) với điểm CVSS 9.9. Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền và chiếm quyền kiểm soát hoàn toàn hệ thống Zabbix, từ đó đe dọa dữ liệu nhạy cảm cũng như các hệ thống liên quan.

Lỗ hổng tồn tại trong API endpoint user.get và có thể bị khai thác bởi bất kỳ tài khoản không phải admin nào có quyền truy cập API, bao gồm cả những tài khoản với vai trò mặc định "User". Kẻ tấn công có thể tận dụng điểm yếu này để chèn mã SQL độc hại nhằm truy cập và kiểm soát trái phép hệ thống.

Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật Márk Rákóczi và báo cáo qua nền tảng HackerOne. Zabbix đã xác nhận vấn đề và phát hành bản vá kịp thời vào ngày 27/11/2024.

Chi tiết Kỹ thuật

Mã CWE: CWE-89 - Lỗi xử lý không đúng các thành phần đặc biệt trong lệnh SQL ('SQL Injection')
Vị trí lỗi:

  • Class: CUser
  • Hàm: addRelatedObjects, được gọi từ hàm CUser.get.

Đối tượng bị ảnh hưởng:

  • Người dùng có quyền API nhưng không cần quyền admin.

Tác động

Khai thác thành công lỗ hổng này có thể dẫn đến:

  1. Rò rỉ dữ liệu:
    • Truy cập trái phép vào cơ sở dữ liệu Zabbix, bao gồm thông tin cấu hình hệ thống, chỉ số hiệu suất và thông tin đăng nhập người dùng.
  2. Phá hoại hệ thống:
    • Sửa đổi hoặc xóa dữ liệu quan trọng, làm gián đoạn các hoạt động giám sát và cảnh báo.
  3. Leo thang đặc quyền:
    • Kẻ tấn công có thể thực thi các lệnh tùy ý trên cơ sở dữ liệu hoặc chiếm quyền kiểm soát toàn bộ máy chủ Zabbix.
  4. Từ chối dịch vụ (DoS):
    • Tác động đến tính sẵn sàng của hệ thống giám sát

Khuyến nghị

1Cập nhật Zabbix lên phiên bản mới nhất ngay lập tức, Zabbix đã phát hành các phiên bản vá lỗi: 

  • 6.0.32rc1
  • 6.4.17rc1
  • 7.0.1rc1

2. Giới hạn quyền truy cập API:

    Chỉ cấp quyền API cho những tài khoản thực sự cần thiết.

    Kiểm tra và loại bỏ quyền truy cập API không cần thiết.

Tham khảo


Duy an
Tin khác
1 2 3 

TRANG THÔNG TIN ĐIỆN TỬ SỞ THÔNG TIN TRUYỀN THÔNG
Thành phần Cổng thông tin điện tử tình Bình Thuận

Địa chỉ: số 192 Đường Phạm Hùng - TP. Phan Thiết - Tỉnh Bình Thuận
Điện thoại: (0252).3833 500
Email: stttt@binhthuan.gov.vn 

 ipv6 readyChung nhan Tin Nhiem Mang
  Designed by VNPT