ABD Siber Güvenlik Altyapı ve Güvenlik Ajansı’ndan (CISA) yapılan bir bildirim, tehdit aktörlerinin ağları, sunucuları, sanal makineleri ve bulut hizmetlerini izlemek için Zabbix açık kaynak aracındaki güvenlik açıklarından yararlandığı konusunda uyarıyor.
Ajans, kötü niyetli siber aktörlerden kaynaklanan “önemli risklerden” kaçınmak için federal kurumlardan herhangi bir Zabbix sunucusunu CVE-2022-23131 ve CVE-2022-23134 olarak izlenen güvenlik sorunlarına karşı yama yapmasını istiyor.
Aynı uyarı, güvenlik açıklarından birinin 10 üzerinden 9,1 kritik önem puanına sahip olduğunu kaydeden Ukrayna Bilgisayar Acil Müdahale Ekibi’nden (CERT) geliyor.
Herkese açık istismarlar
Zabbix Frontend’i etkileyen CVE-2022-23131 için kavram kanıtı açıklarından yararlanma kodu, 21 Şubat’tan itibaren birden fazla araştırmacı tarafından herkese açık olarak paylaşıldı.
Bu güvenlik sorunundan yararlanan bir saldırgan, yapılandırılmış Güvenlik Onayı Biçimlendirme Dili (SAML, varsayılan olmayan bir durum) olan sunucularda kimlik doğrulamasını atlayabilir.
SAML, bir kimlik sağlayıcı ile bir hizmet sağlayıcı arasında veri alışverişi yapan tek bir kimlik doğrulama noktası (tek oturum açma) sağlayan açık bir standarttır.
Hollanda Ulusal Siber Güvenlik Merkezi uyarılar güvenlik açığından aktif olarak yararlanıldığını ve kök ayrıcalıklarıyla uzaktan kod yürütülmesine izin verebileceğini söyledi.
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT), Zabbix sunucularının iki güvenlik açığına, özellikle de CVE-2022-23131’e karşı yama uygulanmadan bırakılması riski hakkında da bir uyarı yayınladı.
“SAML SSO kimlik doğrulaması etkinleştirilirse (varsayılan olarak değil), oturumda depolanan kullanıcı oturum açma bilgileri doğrulanmadığından, oturum verileri bir saldırgan tarafından değiştirilebilir. Bu, denenmemiş bir saldırganın ayrıcalıklar elde etmek ve Zabbix Frontend’e yönetici erişimi elde etmek için bu güvenlik açığından yararlanmasına olanak tanır” – Ukrayna CERT
İkinci güvenlik açığı, CVE-2022-23134, saldırganların yapılandırma dosyasını (setup.php komut dosyası) değiştirmesine ve yükseltilmiş ayrıcalıklarla panoya erişim kazanmasına olanak tanıyan orta derecede önemdeki hatalı erişim denetimi sorunudur.
İki güvenlik açığı, bulgularını bir dergide yayınlayan SonarSource araştırmacıları tarafından keşfedildi. teknik rapor bu ayın başlarında, CVE-2022-23131’den yararlanmanın “özellikle Zabbix Web Frontend’in Admin adlı yüksek ayrıcalıklı bir kullanıcıyla otomatik olarak yapılandırılmasından dolayı” basit olduğunu belirtti.
bakıcıları Zabbix projesi her iki sorunu da ele alan güncellemeler (5.4.9, 5.0.9 ve 4.0.37 sürümleri) yayınladılar ve özellikle aktif kullanım bağlamında bunları yüklemeniz şiddetle tavsiye edilir.
CISA’nın sahip olduğu katma Sık kullanılan bir saldırı vektörünü temsil eden ve federal kurumlardan mevcut yamaları 8 Mart’a kadar yüklemelerini isteyen Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna yönelik güvenlik açıkları.
CVE kimliği | Güvenlik Açığı Adı | Bitiş tarihi |
CVE-2022-23131 | Zabbix Ön Uç Kimlik Doğrulamayı Atlama Güvenlik Açığı | 3/8/2022 |
CVE-2022-23134 | Zabbix Ön Uç Uygunsuz Erişim Denetimi Güvenlik Açığı | 3/8/2022 |