关于zabbix存在SQL注入高危漏洞的安全公告

2016-08-19 15:36:53

安全公告编号:CNTA-2016-0036

近日,国家信息安全漏洞共享平台(CNVD)收录了zabbix存在的SQL注入漏洞(CNVD-2016-06408)。攻击者利用漏洞无需授权登录即可控制zabbix管理系统,或通过script等功能直接获取zabbix服务器的操作权限,进而有可能危害到用户单位整个网络系统的运行安全。由于zabbix服务器在境内应用较为广泛,有可能诱发较高的大规模攻击风险。

一、漏洞情况分析

zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案。 由于zabbix默认开启了guest权限,且默认密码为空,导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限,或通过script等功能直接获取zabbix服务器的操作系权限。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响较低版本zabbix系统,如已经确认的2.2.x, 3.0.0-3.0.3版本。根据CNVD初步普查情况,约有3.5万台zabbix服务器暴露在互联网上,其中排名TOP 5的国家和地区如下:中国(24.9%)、美国(18.8%)、俄罗斯(9.0%)、巴西(8.0%)、德国(5.4%),在中国境内排名TOP5的省份为:北京(32.6%)、浙江(23.2%)、广东(11.4%)、上海(7.8%)、江苏(4.3%)。同时,根据CNVD抽样测试结果(样本数量>500),zabbix服务器受漏洞直接影响(验证可攻击成功)的比例为34.8%,影响比例较高。通过对比发现,在不受漏洞影响的服务器样本中,有一部分服务器Header字段中不存在zbx_sessionid信息,对于防范攻击有一定的帮助。

三、漏洞修复建议

用户可通过禁用guest账户缓解该漏洞造成的威胁。目前,厂商已发布新版本修复此漏洞,CNVD建议用户关注厂商主页,升级到最新版本。

附:参考链接:

https://support.zabbix.com/browse/ZBX-11023

http://www.zabbix.com/download.php(官方下载页面)

http://www.cnvd.org.cn/flaw/show/CNVD-2016-06408

(注:CNVD成员单位绿盟科技公司、杭州安恒公司向秘书处提供了漏洞原理分析情况)