Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat vor der aktiven Ausnutzung von zwei Sicherheitslücken gewarnt, die die Open-Source-Plattform Zabbix betreffen.
Darüber hinaus empfiehlt die CISA den Behörden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB), alle Systeme bis zum 8. März 2022 gegen die Schwachstellen zu patchen, um ihre Gefährdung durch potenzielle Cyberangriffe zu verringern.
Die Schwachstellen CVE-2022-23131 (CVSS-Score: 9.8) und CVE-2022-23134 (CVSS-Score: 5.3) könnten zur Kompromittierung kompletter Netzwerke führen und es einem böswilligen, nicht authentifizierten Akteur ermöglichen, seine Privilegien zu erweitern und Administratorrechte für das Zabbix Frontend zu erlangen sowie Konfigurationsänderungen vorzunehmen.
Thomas Chauchefoin von SonarSource ist es zu verdanken, dass die beiden Schwachstellen entdeckt und gemeldet wurden. Sie betreffen die Zabbix Web Frontend Versionen bis einschließlich 5.4.8, 5.0.18 und 4.0.36. Die Probleme wurden inzwischen in den Versionen 5.4.9, 5.0.9 und 4.0.37 behoben, die Ende Dezember 2021 ausgeliefert wurden.
Beide Schwachstellen sind das Ergebnis dessen, was das Unternehmen als „unsichere Sitzungsspeicherung“ bezeichnet, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und beliebigen Code auszuführen. Es ist jedoch erwähnenswert, dass die Schwachstellen nur Instanzen betreffen, in denen die Security Assertion Markup Language (SAML) Single Sign-On (SSO) Authentifizierung aktiviert ist.
„Bieten Sie den Zugang zu sensiblen Diensten mit erweiterten internen Zugängen (z. B. Orchestrierung, Überwachung) immer über VPNs oder eine eingeschränkte Anzahl von IP-Adressen an, härten Sie die Dateisystemberechtigungen, um unbeabsichtigte Änderungen zu verhindern, entfernen Sie Setup-Skripte usw.“, so Chauchefoin.