CISA: серверы Zabbix подвергаются атакам через свежие уязвимости

28.02.2022

Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) сообщают, что злоумышленники уже используют свежие уязвимости в опенсорсном инструменте Zabbix, который используется для мониторинга и сбора телеметрии от различных ИТ-систем в крупных корпоративных сетях, поддерживая сбор данных с рабочих станций, серверов и облачных ресурсов, пишет Хакер.

Речь идет об уязвимостях CVE-2022-23131 и CVE-2022-23134, информация о которых была раскрыта на прошлой неделе ИБ-компанией SonarSource.

Первый баг связан с тем, как Zabbix хранит данные сеансов. Проблема позволяет злоумышленнику обойти процедуру аутентификации. Вторая ошибка связана с некорректной обработкой файлов установщика Zabbix, что позволяет неаутентифицированным пользователям получать доступ к некоторым ряду ресурсов и перенастроить серверы.

В своем техническом отчете эксперты SonarSource писали, что использование этих ошибок не составит труда для злоумышленников, поскольку для захвата сервера им понадобится лишь получить доступ к файлу конфигурации setup.php.

Разработчики Zabbix выпустили патчи для этих проблем еще на прошлой неделе, однако злоумышленники тоже не теряли времени и быстро взяли уязвимости на вооружение, в надежде закрепиться внутри крупных корпоративных сетей и получить доступ, который в дальнейшем можно будет использовать для бокового перемещении или продать другим преступникам. Согласно данным Shodan Trends, в настоящее время к интернету подключено более 3800 установок Zabbix, которые подвергаются серьезному риску, если их администраторы еще не установили патчи.

Хотя эксперты CISA не опубликовали никаких подробностей о текущих атаках, как минимум один PoC-эксплоит для одной из уязвимостей доступен на GitHub уже несколько дней.