一、漏洞情况分析
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案。 由于zabbix默认开启了guest权限,且默认密码为空,导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限,或通过script等功能直接获取zabbix服务器的操作系权限。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响较低版本zabbix系统,如已经确认的2.2.x, 3.0.0-3.0.3版本。根据CNVD初步普查情况,约有3.5万台zabbix服务器暴露在互联网上,其中排名TOP 5的国家和地区如下:中国(24.9%)、美国(18.8%)、俄罗斯(9.0%)、巴西(8.0%)、德国(5.4%),在中国境内排名TOP5的省份为:北京(32.6%)、浙江(23.2%)、广东(11.4%)、上海(7.8%)、江苏(4.3%)。同时,根据CNVD抽样测试结果(样本数量>500),zabbix服务器受漏洞直接影响(验证可攻击成功)的比例为34.8%,影响比例较高。通过对比发现,在不受漏洞影响的服务器样本中,有一部分服务器Header字段中不存在zbx_sessionid信息,对于防范攻击有一定的帮助。
三、漏洞修复建议
用户可通过禁用guest账户缓解该漏洞造成的威胁。目前,厂商已发布新版本修复此漏洞,CNVD建议用户关注厂商主页,升级到最新版本。
附:参考链接:
https://support.zabbix.com/browse/ZBX-11023
http://www.zabbix.com/download.php(官方下载页面)
http://www.cnvd.org.cn/flaw/show/CNVD-2016-06408
(注:作为CNVD成员单位,安恒信息技术团队第一时间向CNVD秘书处提供了漏洞原理分析情况)