CISA warnt: 2 Zabbix-Schwachstellen werden aktiv ausgenutzt, patchen

[English]Keine Ahnung, ob jemand aus der Leserschaft das Netzwerk-Monitoring-System Zabbix einsetzt. Vor einigen Tagen wurden zwei Schwachstellen CVE-2022-23131 und CVE-2022-23134 öffentlich. Und es gibt ein Zabbix-Update, um diese Schwachstellen zu beseitigen. Jetzt warnt die CISA, dass die beiden Schwachstellen bereits aktiv in Angriffen ausgenutzt werden. Ich habe mal nachgesehen, auch in Deutschland ist wohl eine dreistellige Anzahl an Zabbix-Servern per Internet erreichbar – sagt jedenfalls Shodan.

Was ist Zabbix?

Zabbix ist ein Open-Source-Netzwerk-Monitoringsystem, welches der Überwachung von IT-Infrastrukturen dient. Das Produkt besteht aus Zabbix-Server, dem Zabbix-Proxy und Zabbix-Agent. Entwickelt wurde die Software  hauptsächlich von Alexei Vladishev, wobei Zabbix von der Firma Zabbix SIA weiterentwickelt wird. heise hat zum 17.2.2022 den Beitrag Hochverfügbarkeit, tag-basiertes Monitoring, schickes GUI: Zabbix 6.0 ist da zu diesem Produkt veröffentlicht.

Über die Suchmaschine Shodan werden mir über 3.400 Zabbix-Instanzen, die per Internet erreichbar sind, aufgelistet. Auch in Deutschland gibt es Instanzen, die per Internet verfügbar sind. Ich habe aber keine Auswertung über den Patchstand gemacht.

Schwachstellen CVE-2022-23131 und CVE-2022-23134

Zum 16. Februar 2022 hat der Sicherheitsanbieter SonarSource den Beitrag Zabbix – A Case Study of Unsafe Session Storage mit Details zu zwei Schwachstellen in Zabbix veröffentlicht. Die Sicherheitsforscher haben eine hochgefährliche Schwachstelle in der Zabbix-Implementierung von clientseitigen Sitzungen entdeckt, die zur Kompromittierung ganzer Netzwerke führen kann.

• CVE-2022-23131: Auf Instanzen, wo die SAML SSO-Authentifizierung aktiviert ist (nicht standardmäßig), können Sitzungsdaten von einem böswilligen Akteur geändert werden, da eine in der Sitzung gespeicherte Benutzeranmeldung nicht verifiziert wurde. Ein böswilliger, nicht authentifizierter Akteur kann dieses Problem ausnutzen, um seine Privilegien zu erweitern und Administratorzugriff auf Zabbix Frontend zu erhalten. Zur Durchführung des Angriffs muss die SAML-Authentifizierung aktiviert sein und der Angreifer muss den Benutzernamen des Zabbix-Benutzers kennen (oder das Gastkonto verwenden, das standardmäßig deaktiviert ist).
• CVE-2022-23134: Nach dem initialen Setup sind einige Schritte in der Datei setup.php nicht nur für Super-Administratoren, sondern auch für nicht authentifizierte Benutzer zugänglich. Ein böswilliger Akteur kann diese Schrittprüfungen passieren und möglicherweise die Konfiguration des Zabbix Frontend ändern.

Die entdeckten Schwachstellen betreffen alle unterstützten Zabbix Web Frontend Versionen bis einschließlich 5.4.8, 5.0.18 und 4.0.36. Sie erfordern keine Vorkenntnisse über das Ziel und können von Angreifern mühelos automatisiert werden. Die Sicherheitsforscher empfehlen dringend, Ihre Instanzen, auf denen ein Zabbix Web Frontend läuft, auf 6.0.0beta2, 5.4.9, 5.0.19 oder 4.0.37 zu aktualisieren, um die Netzwerk-Infrastruktur zu schützen.

CISA warnt vor Ausnutzung der Schwachstellen

Die  US-Behörde für Cybersicherheitsinfrastruktur und -sicherheit (CISA) hat die US-Bundesbehörden aufgefordert, alle von ihnen betriebenen Zabbix-Server zu patchen. Denn es wurde bekannt, dass dass Bedrohungsakteure damit begonnen haben, die beiden oben genannten Sicherheitslücken zu nutzen, um ungepatchte Systeme zu übernehmen. Auch das nationale Cyber Sicherheitszentrum der Niederlande warnt vor den Schwachstellen.

Obigem Tweet ist zu entnehmen, dass es auch einen Proof of Concept (PoC) Exploit gibt, der seit dem Wochenende öffentlich ist. Die Kollegen hier und hier haben entsprechende Artikel zur CISA-Warnung veröffentlicht. Falls jemand Zabbix einsetzt, wäre also handeln angesagt.