netzwerkdude
Feb 25, 2022
view4046
view6
2
Goto Top

Zabbix Schwachstelle wird aktiv ausgenutzt

GermanInformationNetworks
Moin,

die US CISA hat die Zabbix Lücken CVE-2022-23131 und CVE-2022-23134 zu ihrer Liste der "bereits ausgenutzten Lücken" hinzugefügt.

Falls ihr noch einen älteren Zabbix laufen habt: Patchen.
Denn meist hat so ein Monitoring Systemen zumindest viel Zugriffsrechte auf Netzwerkebene auf alle möglichen Dienste, d.h. falls man Kontrolle über den Zabbix Server bekommt, kann man schön weiter lateral im Netzwerk sich bewegen.

CVE-2022-23131 funktioniert nur wenn ihr SAML Konfiguriert habt
CVE-2022-23134 funktioniert auch in der default config

Quellen:
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/22/cisa-adds-t ...
https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage

Und wenn ihr schon am schauen seid, die CISA hat auch eine schöne Liste aller anderen "bereits ausgenutzten Lücken" parat:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

MFG
NetzwerkDude
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 2002171955

Url: https://administrator.de/contentid/2002171955

Printed on: April 23, 2024 at 20:04 o'clock

6 Comments
Latest comment
Goto Top
Member: commodity
commodity Feb 25, 2022 at 10:44:17 (UTC)
Goto Top
Danke für den Hinweis! Der Server (V5.0) hatte noch kein unattended-upgrades, oh Schreck!
SAML ist ja aber glücklicher Weise nicht default.

Viele Grüße, commodity
Member: EliteHacker
EliteHacker Feb 25, 2022 updated at 22:18:53 (UTC)
Goto Top
Ja hängt ihr denn alle den Zabbix-Server ans Internet und intern darf jeder darauf zugreifen? Hallo, geht's noch?!

Also wer jedem Hinz und Kunz per Netzwerk-Firewall Zugriffsrechte einräumt, um auf den Zabbix-Server zuzugreifen, der hat es meiner Meinung nach nicht anderst verdient.

Die Einzigen, die per Netzwerk auf den Zabbix-Server zugreifen können, sollten die Admins aus der IT-Abteilung sein. Da der Angriffsvektor "Netzwerk" ist, wäre ein Angriff von außerhalb der IT-Abteilung theoretisch ausgeschlossen.

Oder verstehe ich was falsch?
Member: commodity
commodity Feb 25, 2022 updated at 22:13:51 (UTC)
Goto Top
Denke, Du verstehst was falsch. Aber Du hast natürlich Recht, dass man die UI nicht unbedingt ins Web stellen muss.

Viele Grüße, commodity
Member: DiggaSysKannNix
DiggaSysKannNix Mar 02, 2022 updated at 14:17:03 (UTC)
Goto Top
Problem ist, ich krieg die 5.4 nicht auf 6.0 geupgraded.

Kann ich noch alles richtig machen wie hier: https://bestmonitoringtools.com/upgrade-zabbix-to-the-latest-version/ , aber immer kommt

connection to database 'xxx' failed: [1045] Access denied for user 'xxx'@'localhost' (using password: NO)

Obwohl die 5.4 zabbix_server.conf und die neue 6.0 zabbix_server.conf IDENTISCH! sind.
Member: markuswo
markuswo Mar 02, 2022 at 15:21:03 (UTC)
Goto Top
Welche Version der Datenbank verwendest du denn? Und läuft diese überhaupt? Ohne diese Informationen kann man schwer helfen.

Ansonsten gibt es hier von der offiziellen Zabbix Seite eine Menge Hinweise zur Migration:
https://blog.zabbix.com/a-guide-to-migrating-to-zabbix-6-0-lts-by-edgars ...

(Um die CVE zu fixen musst du aber nicht zwingend auf 6.0 wechseln, es reicht ein aktuelles Update der 5.4)
Member: commodity
commodity Mar 03, 2022 updated at 16:00:42 (UTC)
Goto Top
Zitat von @DiggaSysKannNix:
Problem ist, ich krieg die 5.4 nicht auf 6.0 geupgraded.
Musst Du doch gar nicht. Die Lücke ist auch in 5.4 geschlossen, wenn Du die aktuellste Version einspielst. Ebenso in 5.0.

Viele Grüße, commodity

Edit: Ah, hat @markuswo schon geschrieben. Doppelt hält besser face-wink
GermanInformationNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments