美国网络安全基础设施和安全局(US Cybersecurity Infrastructure and Security Agency)在获悉威胁行为人已开始使用上周披露的两个漏洞接管未修补的系统后,已要求联邦机构修补其可能正在运行的任何Zabbix服务器。
CISA警报中提到的漏洞被追踪为CVE-2022-23131和CVE-2022-23134,这两个漏洞都是上周在安全公司SonarSource的一份报告中披露的。
第一个漏洞是Zabbix存储会话数据的方式,允许攻击者绕过身份验证过程,而第二个漏洞的根源是对Zabbix安装程序文件的错误处理,这使得未经身份验证的用户(攻击者)能够访问其中一些资源并重新配置服务器。
它们影响了Zabbix,这是一款非常受欢迎的基于网络的开源应用程序,可用于监控和接收部署在大型企业网络内的大量IT系统的遥测数据,支持从工作站、服务器和云资源进行采集。
SonarSource在上周的技术报告中称,利用这两个漏洞是“直接的”,因为攻击者只需访问Zabbix的设置。php文件来接管服务器。
Zabbix团队上周发布了最新消息,但正如最近的趋势一样,威胁参与者迅速采取行动,将披露的漏洞武器化,以期在大型企业网络中站稳脚跟,他们可以利用这些网络升级入侵或将其卖给其他犯罪集团。
虽然CISA尚未公布有关当前攻击企图的详细信息,但至少有一个漏洞的概念证明已经在GitHub上发布了几天。
根据Shodan Trends的一个页面,目前有3800多个Zabbix实例连接到互联网,如果不打补丁,就有被黑客入侵的严重风险。
SonarSource发布了Zabbix报告的第二天,另一家安全公司White Oak security发布了一份报告,详细介绍了另一种IT监控和管理工具Extensions Portfolio中的一个硬编码后门帐户。尚未发现利用此漏洞(CVE-2022-24255)的情况,但它与Zabbix系统一样是一个有吸引力的目标,甚至更容易利用。