Deux vulnérabilités de la plate-forme de surveillance open source Zabbix pourraient permettre à un attaquant de contourner l’authentification et d’exécuter du code arbitraire sur un serveur ciblé.
Les failles de sécurité ont été trouvées dans Zabbix Web Frontend, une plateforme utilisée pour collecter, centraliser. et suivre des métriques telles que la charge du processeur et le trafic réseau sur l’ensemble des infrastructures.
Les chercheurs de SonarSource, qui ont découvert les bogues, ont noté que Zabbix est une cible de premier plan pour les acteurs de la menace en raison de sa popularité, de ses fonctionnalités et de sa « position privilégiée dans la plupart des réseaux de l’entreprise ».
Questions
La première vulnérabilité, identifiée comme CVE-2022-23131, qui a reçu une gravité de 9.1, est un stockage de session côté client non sécurisé conduisant à un contournement d’authentification/prise de contrôle d’instance via Zabbix Frontend avec SAML configuré.
Dans le cas d’instances où l’authentification SAML SSO est activée (non par défaut), les données de session peuvent être modifiées par un acteur malveillant, car une connexion utilisateur stockée dans la session n’a pas été vérifiée.
Un acteur malveillant non authentifié pourrait exploiter ce problème pour augmenter les privilèges et obtenir un accès administrateur à l’interface Zabbix.
TU PEUX AIMER Être à la traîne? Une nouvelle étude met en évidence les faiblesses du processus de correctif open source
Une mise en garde à cela est que pour effectuer l’attaque, l’authentification SAML doit être activée, et l’agresseur doit connaître le nom d’utilisateur de l’utilisateur Zabbix (ou utiliser le compte invité, qui est désactivé par défaut), un avis de sécurité à partir des notes de Zabbix.
La deuxième vulnérabilité trouvée par SonarSource, identifiée comme CVE-2022-23134, est classée comme étant de gravité moyenne et permet à certaines étapes du fichier setup.php d’être accessibles non seulement par les super-administrateurs, mais également par les utilisateurs non authentifiés.
Un acteur malveillant pourrait réussir les vérifications d’étape et potentiellement modifier la configuration de Zabbix Frontend, une note d’information.
Corrigez maintenant
Dans un article de blog de SonarSourceles chercheurs ont déclaré que lors de l’écriture et de la révision du code lié à des fonctionnalités de sécurité importantes, « il est facile de faire les mêmes hypothèses que le développeur d’origine qui a introduit la vulnérabilité ».
Ils ont écrit : « Ici, aucun test d’intégration lié au stockage de session côté client n’aurait pu détecter ce comportement.
« Fournissez toujours un accès aux services sensibles avec des accès internes étendus (par exemple, l’orchestration, la surveillance) via des VPN ou un ensemble restreint d’adresses IP, renforcez les autorisations du système de fichiers pour empêcher les modifications involontaires, supprimez les scripts de configuration, etc. »
Enfin, les chercheurs ont recommandé de mettre à niveau toutes les instances exécutant une interface Web Zabbix vers 6.0.0beta2, 5.4.9, 5.0.19 ou 4.0.37.