6
Zabbix Schwachstelle wird aktiv ausgenutzt
Moin,
die US CISA hat die Zabbix Lücken CVE-2022-23131 und CVE-2022-23134 zu ihrer Liste der "bereits ausgenutzten Lücken" hinzugefügt.
Falls ihr noch einen älteren Zabbix laufen habt: Patchen.
Denn meist hat so ein Monitoring Systemen zumindest viel Zugriffsrechte auf Netzwerkebene auf alle möglichen Dienste, d.h. falls man Kontrolle über den Zabbix Server bekommt, kann man schön weiter lateral im Netzwerk sich bewegen.
CVE-2022-23131 funktioniert nur wenn ihr SAML Konfiguriert habt
CVE-2022-23134 funktioniert auch in der default config
Quellen:
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/22/cisa-adds-t ...
https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage
Und wenn ihr schon am schauen seid, die CISA hat auch eine schöne Liste aller anderen "bereits ausgenutzten Lücken" parat:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
MFG
NetzwerkDude
die US CISA hat die Zabbix Lücken CVE-2022-23131 und CVE-2022-23134 zu ihrer Liste der "bereits ausgenutzten Lücken" hinzugefügt.
Falls ihr noch einen älteren Zabbix laufen habt: Patchen.
Denn meist hat so ein Monitoring Systemen zumindest viel Zugriffsrechte auf Netzwerkebene auf alle möglichen Dienste, d.h. falls man Kontrolle über den Zabbix Server bekommt, kann man schön weiter lateral im Netzwerk sich bewegen.
CVE-2022-23131 funktioniert nur wenn ihr SAML Konfiguriert habt
CVE-2022-23134 funktioniert auch in der default config
Quellen:
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/22/cisa-adds-t ...
https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage
Und wenn ihr schon am schauen seid, die CISA hat auch eine schöne Liste aller anderen "bereits ausgenutzten Lücken" parat:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
MFG
NetzwerkDude
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2002171955
Url: https://administrator.de/contentid/2002171955
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Danke für den Hinweis! Der Server (V5.0) hatte noch kein unattended-upgrades, oh Schreck!
SAML ist ja aber glücklicher Weise nicht default.
Viele Grüße, commodity
SAML ist ja aber glücklicher Weise nicht default.
Viele Grüße, commodity
Ja hängt ihr denn alle den Zabbix-Server ans Internet und intern darf jeder darauf zugreifen? Hallo, geht's noch?!
Also wer jedem Hinz und Kunz per Netzwerk-Firewall Zugriffsrechte einräumt, um auf den Zabbix-Server zuzugreifen, der hat es meiner Meinung nach nicht anderst verdient.
Die Einzigen, die per Netzwerk auf den Zabbix-Server zugreifen können, sollten die Admins aus der IT-Abteilung sein. Da der Angriffsvektor "Netzwerk" ist, wäre ein Angriff von außerhalb der IT-Abteilung theoretisch ausgeschlossen.
Oder verstehe ich was falsch?
Also wer jedem Hinz und Kunz per Netzwerk-Firewall Zugriffsrechte einräumt, um auf den Zabbix-Server zuzugreifen, der hat es meiner Meinung nach nicht anderst verdient.
Die Einzigen, die per Netzwerk auf den Zabbix-Server zugreifen können, sollten die Admins aus der IT-Abteilung sein. Da der Angriffsvektor "Netzwerk" ist, wäre ein Angriff von außerhalb der IT-Abteilung theoretisch ausgeschlossen.
Oder verstehe ich was falsch?
Denke, Du verstehst was falsch. Aber Du hast natürlich Recht, dass man die UI nicht unbedingt ins Web stellen muss.
Viele Grüße, commodity
Viele Grüße, commodity
Problem ist, ich krieg die 5.4 nicht auf 6.0 geupgraded.
Kann ich noch alles richtig machen wie hier: https://bestmonitoringtools.com/upgrade-zabbix-to-the-latest-version/ , aber immer kommt
Obwohl die 5.4 zabbix_server.conf und die neue 6.0 zabbix_server.conf IDENTISCH! sind.
Kann ich noch alles richtig machen wie hier: https://bestmonitoringtools.com/upgrade-zabbix-to-the-latest-version/ , aber immer kommt
connection to database 'xxx' failed: [1045] Access denied for user 'xxx'@'localhost' (using password: NO) Obwohl die 5.4 zabbix_server.conf und die neue 6.0 zabbix_server.conf IDENTISCH! sind.
Welche Version der Datenbank verwendest du denn? Und läuft diese überhaupt? Ohne diese Informationen kann man schwer helfen.
Ansonsten gibt es hier von der offiziellen Zabbix Seite eine Menge Hinweise zur Migration:
https://blog.zabbix.com/a-guide-to-migrating-to-zabbix-6-0-lts-by-edgars ...
(Um die CVE zu fixen musst du aber nicht zwingend auf 6.0 wechseln, es reicht ein aktuelles Update der 5.4)
Ansonsten gibt es hier von der offiziellen Zabbix Seite eine Menge Hinweise zur Migration:
https://blog.zabbix.com/a-guide-to-migrating-to-zabbix-6-0-lts-by-edgars ...
(Um die CVE zu fixen musst du aber nicht zwingend auf 6.0 wechseln, es reicht ein aktuelles Update der 5.4)
Musst Du doch gar nicht. Die Lücke ist auch in 5.4 geschlossen, wenn Du die aktuellste Version einspielst. Ebenso in 5.0.
Viele Grüße, commodity
Edit: Ah, hat @markuswo schon geschrieben. Doppelt hält besser
Viele Grüße, commodity
Edit: Ah, hat @markuswo schon geschrieben. Doppelt hält besser
