关于zabbix存在SQL注入高危漏洞的安全公告

Posted 2021-05-01 安恒信息

近日，国家信息安全漏洞共享平台（CNVD）收录了zabbix存在的SQL注入漏洞（CNVD-2016-06408）。攻击者利用漏洞无需授权登录即可控制zabbix管理系统，或通过script等功能直接获取zabbix服务器的操作权限，进而有可能危害到用户单位整个网络系统的运行安全。由于zabbix服务器在境内应用较为广泛，有可能诱发较高的大规模攻击风险。

一、漏洞情况分析

zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案。 由于zabbix默认开启了guest权限，且默认密码为空，导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限，或通过script等功能直接获取zabbix服务器的操作系权限。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响较低版本zabbix系统，如已经确认的2.2.x, 3.0.0-3.0.3版本。根据CNVD初步普查情况，约有3.5万台zabbix服务器暴露在互联网上，其中排名TOP 5的国家和地区如下：中国（24.9%）、美国（18.8%）、俄罗斯（9.0%）、巴西（8.0%）、德国（5.4%），在中国境内排名TOP5的省份为：北京（32.6%）、浙江（23.2%）、广东（11.4%）、上海（7.8%）、江苏（4.3%）。同时，根据CNVD抽样测试结果（样本数量>500），zabbix服务器受漏洞直接影响（验证可攻击成功）的比例为34.8%，影响比例较高。通过对比发现，在不受漏洞影响的服务器样本中，有一部分服务器Header字段中不存在zbx_sessionid信息，对于防范攻击有一定的帮助。

三、漏洞修复建议

用户可通过禁用guest账户缓解该漏洞造成的威胁。目前，厂商已发布新版本修复此漏洞，CNVD建议用户关注厂商主页，升级到最新版本。

 

附：参考链接：

https://support.zabbix.com/browse/ZBX-11023

http://www.zabbix.com/download.php（官方下载页面）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-06408

 

（注：作为CNVD成员单位，安恒信息技术团队第一时间向CNVD秘书处提供了漏洞原理分析情况）

杭州安恒信息技术有限公司

杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办，是中国领先的信息安全产品和服务解决方案提供商，阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌，继2015年入选全球网络安全500强（中国仅4家）后，2016年再次入选，并居中国企业榜首。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续两届世界互联网大会等重大活动提供全方位网络信息安全保障。

公司主营业务涵盖云计算安全，大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等，包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。

安恒信息通过“云监测、云防护、云审计、云应用”四大产品线构建全生命周期的一站式“安恒云”平台，为用户提供全方位、立体式的安全托管服务，帮助用户更快速、更安全、更放心的拥抱云计算和大数据，目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌！