Introdução
Zabbix é uma ferramenta de monitoramento de rede amplamente utilizada em infraestruturas de TI corporativas em todo o mundo, e está suscetível ataques de injeção de SQL. A falha codificada como CVE-2024-22120 afeta todas as versões a partir de 6.0 e pode levar à execução remota de código. O pesquisador que detectou a falha já publicou a exploração de prova de conceito, o que significa que a exploração da falha é possível e já possuindo POCs em repositórios do Github.
Vulnerabilidade SQLi no Zabbix
Em 17 de maio de 2024, foi descoberta uma grave vulnerabilidade no Zabbix. Em fevereiro, Maxim Tyukov, pesquisador de ameaças, detalhou uma falha no fórum de suporte do site dos desenvolvedores. O Zabbix atribuiu à vulnerabilidade uma pontuação CVSS de 9.1, enquanto as classificações oficiais da NVD NIST ainda estão pendentes. O relatório destaca os danos potenciais da exploração bem-sucedida dessa vulnerabilidade.
A falha permite extrair quaisquer valores do banco de dados, possibilitando a escalada de privilégios de usuário para administrador e, em alguns casos, a execução remota de código (RCE). A exploração é relativamente fácil: os atacantes precisam apenas de uma conta de baixo privilégio e acesso a um único host para executar um script de exploração. Após ajustar os valores relacionados à sessão de login da conta, o atacante pode acessar todo o banco de dados em cerca de 10 minutos.
Devido à natureza do Zabbix, os dados vazados pela SQLi podem não ser extremamente valiosos, mas informações sobre a quantidade de servidores, carga de hardware e status são úteis para reconhecimento. Com esses dados, o atacante pode direcionar servidores específicos. A exploração bem-sucedida pode eventualmente levar à execução remota de código, considerada uma das vulnerabilidades mais perigosas.
Versões Afetadas
A pesquisa original identifica várias versões do Zabbix suscetíveis à exploração. A vulnerabilidade CVE-2024-22120 afeta versões desde a 6.0.0, incluindo algumas versões beta da 7.0. A tabela abaixo mostra as versões vulneráveis e as corrigidas:
Versões Vulneráveis
| Vulnerable versions | Fixed In |
|---|---|
| 6.0.0 – 6.0.27 | 6.0.28rc1 |
| 6.4.0 – 6.4.12 | 6.4.13rc1 |
| 7.0.0alpha1-7.0.0beta1 | 7.0.0beta2 |
O desenvolvimento dessas correções provavelmente atrasou a publicação da informação por 3 meses. Os desenvolvedores do Zabbix lançaram patches para todas as versões afetadas, e os usuários devem instalar essas atualizações imediatamente.
Como informado no inicio do post, já existem POCs em repositórios do github, portanto, atualize seu Zabbix o quanto antes.
