Zabbixの重大な脆弱性に対するPoCエクスプロイトが公開(CVE-2024-42327)
人気のOSSインフラ 監視ツールである Zabbix(ザビックス)に、CVSS スコア 9.9 の SQL インジェクションを行える重大な脆弱性 (CVE-2024-42327) が判明しました。
その後セキュリティ研究者の Alejandro Ramos 氏がこの脆弱性に対するPoCエクスプロイトを公開しました。広く公開する事により悪用される可能性もありますので、対象者はアップデートして対策する事をお勧めします。
脆弱性(CVE-2024-42327)とPoCエクスプロイトの概要
2024年6月に発見され、11月27日に公開されたZabbixの脆弱性(CVE)は、API経由でSQLインジェクション攻撃を可能にするものです。
Alejandro Ramos 氏はこの問題は「user.get」メソッドの処理に起因し、攻撃者がユーザーの暗号化されたパスワードハッシュを含む機密情報を取得可能とします。
これをもう少し詳しく示すために、2 つのスクリーンショットを残します。以下のスクリーンショットは API への正当なリクエストを示しています。ここで、selectRoleは予想どおり単なる文字列です。
次のスクリーンショットでは、この文字列を配列に変換し、クエリされたユーザーの暗号化されたパスワードのハッシュを取得するなど、攻撃者の観点から重要な SQL ステートメントを連結しています。
他にも多くのことを行うことができますが、レスポンスの通りこれは SQL インジェクションが可能になっています。
この SQL インジェクションが悪用されると、攻撃者は権限を昇格し、監視システムを侵害して機密性の高い企業データにアクセスできる可能性があります。
対象者は早急にアップデートする事をお勧めします。
影響を受けるバージョン
・6.0.0 – 6.0.31
・6.4.0 – 6.4.16
・7.0.0
・6.0.32rc1
・6.4.17rc1
・7.0.1rc1