Zabbixの重大な脆弱性に対するPoCエクスプロイトが公開(CVE-2024-42327)

Zabbixの重大な脆弱性に対するPoCエクスプロイトが公開(CVE-2024-42327)

人気のOSSインフラ 監視ツールである Zabbix(ザビックス)に、CVSS スコア 9.9 の SQL インジェクションを行える重大な脆弱性 (CVE-2024-42327) が判明しました。

その後セキュリティ研究者の Alejandro Ramos 氏がこの脆弱性に対するPoCエクスプロイトを公開しました。広く公開する事により悪用される可能性もありますので、対象者はアップデートして対策する事をお勧めします。

脆弱性(CVE-2024-42327)とPoCエクスプロイトの概要

2024年6月に発見され、11月27日に公開されたZabbixの脆弱性(CVE)は、API経由でSQLインジェクション攻撃を可能にするものです。

Alejandro Ramos 氏はこの問題は「user.get」メソッドの処理に起因し、攻撃者がユーザーの暗号化されたパスワードハッシュを含む機密情報を取得可能とします。

脆弱性(CVE-2024-42327)とPoCエクスプロイトの概要

これをもう少し詳しく示すために、2 つのスクリーンショットを残します。以下のスクリーンショットは API への正当なリクエストを示しています。ここで、selectRoleは予想どおり単なる文字列です。

Zabbix APIへの通常のリクエスト

次のスクリーンショットでは、この文字列を配列に変換し、クエリされたユーザーの暗号化されたパスワードのハッシュを取得するなど、攻撃者の観点から重要な SQL ステートメントを連結しています。

selectRolet 関数が挿入された Zabbix API リクエスト

selectRolet 関数が挿入された Zabbix API リクエスト

他にも多くのことを行うことができますが、レスポンスの通りこれは SQL インジェクションが可能になっています。

この SQL インジェクションが悪用されると、攻撃者は権限を昇格し、監視システムを侵害して機密性の高い企業データにアクセスできる可能性があります。

対象者は早急にアップデートする事をお勧めします。

影響を受けるバージョン

・6.0.0 – 6.0.31 
・6.4.0 – 6.4.16 
・7.0.0 

以下バージョン以上へアップデート

・6.0.32rc1
・6.4.17rc1
・7.0.1rc1

 

 

TOPへ