关于Zabbix漏洞情况的通报

Posted 2021-05-01 中国信息安全

近日，互联网上披露了有关Zabbix存在两处基于错误回显的SQl注入漏洞（CNNVD-201608-340、CNNVD-201608-341）的情况。该漏洞是由于zabbix默认开启guest权限（其账户默认密码是空），导致攻击者可利用该权限访问latest.php和jsrpc.php页面，从而触发上述漏洞，获取远程服务器控制权限。7月22日，Zabbix官方网站针对latest.php页面的漏洞发布了修复方案(ZBX-11023)，但经分析，最新版本的Zabbix中，jsrpc.php页面的漏洞依然存在。国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，详细分析情况如下：

一、漏洞简介

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案，广泛应用于企业对IT基础设施运行状态的实时监控。

Zabbix 2.2.x和3.0.x版本中存在两处基于错误回显的SQL注入漏洞（CNNVD-201608-340、CNNVD-201608-341）。第一处漏洞源于latest.php中的toggle_ids[]数组未对输入数据安全过滤。第二处漏洞源于jsrpc.php页面中的profileIdx2参数未对输入数据安全过滤。

二、漏洞危害

Zabbix系统通常部署在企业内网，根据ZoomEye扫描结果，目前全球暴露在公网上的Zabbix系统有上万余个，其中我国各省市共有1423个，德国、美国、日本等其他国家共有10477个，部署范围较广，影响较为严重。

远程攻击者可利用该漏洞获取Zabbix系统的管理员账号，进行服务器信息监控、用户管理、执行恶意脚本等恶意操作，从而直接获取计算机远程控制权限，进一步对受影响的服务器实施远程攻击。

三、修复措施

1、部署Zabbix的单位，应及时检查所使用的Zabbix版本是否在受影响范围内。如受影响，可采取以下缓解方案：

（1）将该系统的guest账户设置为禁用，禁用Guest步骤：点击“Administration”-->Users选项，选择guest用户，点击status的”Enabled"，即完成 Guest用户被禁用操作；

（2）针对latest.php存在的漏洞，可将zabbix版本到最新版本3.0.4。

公告链接：http://www.zabbix.com/rn3.0.4.php

（3）针对源代码进行修复，修复方法：对CProfile类的flush方法中注入参数做强制整形转换。

2、部署受影响Zabbix版本的单位应密切关注Zabbix官方网站发布的相关信息，及时修复漏洞，消除隐患。

本报告由CNNVD技术支撑单位—杭州安恒信息技术有限公司、北京奇虎科技有限公司、北京知道创宇信息技术有限公司、北京白帽汇科技有限公司提供支持。

 CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD及时联系。

 

附录：技术支撑单位分析报告及厂商安全公告相关参考链接如下：

[1]http://www.zabbix.com/rn3.0.4.php

[2]https://support.zabbix.com/browse/ZBX-11023