netzwerkdude
Goto Top

Zabbix Schwachstelle wird aktiv ausgenutzt

Moin,

die US CISA hat die Zabbix Lücken CVE-2022-23131 und CVE-2022-23134 zu ihrer Liste der "bereits ausgenutzten Lücken" hinzugefügt.

Falls ihr noch einen älteren Zabbix laufen habt: Patchen.
Denn meist hat so ein Monitoring Systemen zumindest viel Zugriffsrechte auf Netzwerkebene auf alle möglichen Dienste, d.h. falls man Kontrolle über den Zabbix Server bekommt, kann man schön weiter lateral im Netzwerk sich bewegen.

CVE-2022-23131 funktioniert nur wenn ihr SAML Konfiguriert habt
CVE-2022-23134 funktioniert auch in der default config

Quellen:
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/22/cisa-adds-t ...
https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage

Und wenn ihr schon am schauen seid, die CISA hat auch eine schöne Liste aller anderen "bereits ausgenutzten Lücken" parat:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

MFG
NetzwerkDude

Content-ID: 2002171955

Url: https://administrator.de/knowledge/zabbix-schwachstelle-wird-aktiv-ausgenutzt-2002171955.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

commodity
commodity 25.02.2022 um 11:44:17 Uhr
Goto Top
Danke für den Hinweis! Der Server (V5.0) hatte noch kein unattended-upgrades, oh Schreck!
SAML ist ja aber glücklicher Weise nicht default.

Viele Grüße, commodity
EliteHacker
EliteHacker 25.02.2022 aktualisiert um 23:18:53 Uhr
Goto Top
Ja hängt ihr denn alle den Zabbix-Server ans Internet und intern darf jeder darauf zugreifen? Hallo, geht's noch?!

Also wer jedem Hinz und Kunz per Netzwerk-Firewall Zugriffsrechte einräumt, um auf den Zabbix-Server zuzugreifen, der hat es meiner Meinung nach nicht anderst verdient.

Die Einzigen, die per Netzwerk auf den Zabbix-Server zugreifen können, sollten die Admins aus der IT-Abteilung sein. Da der Angriffsvektor "Netzwerk" ist, wäre ein Angriff von außerhalb der IT-Abteilung theoretisch ausgeschlossen.

Oder verstehe ich was falsch?
commodity
commodity 25.02.2022 aktualisiert um 23:13:51 Uhr
Goto Top
Denke, Du verstehst was falsch. Aber Du hast natürlich Recht, dass man die UI nicht unbedingt ins Web stellen muss.

Viele Grüße, commodity
DiggaSysKannNix
DiggaSysKannNix 02.03.2022 aktualisiert um 15:17:03 Uhr
Goto Top
Problem ist, ich krieg die 5.4 nicht auf 6.0 geupgraded.

Kann ich noch alles richtig machen wie hier: https://bestmonitoringtools.com/upgrade-zabbix-to-the-latest-version/ , aber immer kommt

connection to database 'xxx' failed: [1045] Access denied for user 'xxx'@'localhost' (using password: NO)  

Obwohl die 5.4 zabbix_server.conf und die neue 6.0 zabbix_server.conf IDENTISCH! sind.
markuswo
markuswo 02.03.2022 um 16:21:03 Uhr
Goto Top
Welche Version der Datenbank verwendest du denn? Und läuft diese überhaupt? Ohne diese Informationen kann man schwer helfen.

Ansonsten gibt es hier von der offiziellen Zabbix Seite eine Menge Hinweise zur Migration:
https://blog.zabbix.com/a-guide-to-migrating-to-zabbix-6-0-lts-by-edgars ...

(Um die CVE zu fixen musst du aber nicht zwingend auf 6.0 wechseln, es reicht ein aktuelles Update der 5.4)
commodity
commodity 03.03.2022 aktualisiert um 17:00:42 Uhr
Goto Top
Zitat von @DiggaSysKannNix:
Problem ist, ich krieg die 5.4 nicht auf 6.0 geupgraded.
Musst Du doch gar nicht. Die Lücke ist auch in 5.4 geschlossen, wenn Du die aktuellste Version einspielst. Ebenso in 5.0.

Viele Grüße, commodity

Edit: Ah, hat @markuswo schon geschrieben. Doppelt hält besser face-wink