image

Actief aangevallen lek in Zabbix-servers maakt overnemen netwerken mogelijk

woensdag 23 februari 2022, 10:14 door Redactie, 10 reacties

Aanvallers maken op dit moment actief misbruik van kwetsbaarheden in Zabbix om servers waarop de monitoringsoplossing draait over te nemen. Iets wat grote gevolgen voor bedrijven en organisaties kan hebben, aangezien het volledige overname van netwerken mogelijk maakt.

Zabbix is een oplossing voor het monitoren van de it-infrastructuur, zoals netwerken, servers, virtual machines en clouddiensten. Het is vergelijkbaar met oplossingen als Pandora FMS en Nagios. Vanwege de populariteit, features en rol in het netwerk is Zabbix een aantrekkelijk doelwit voor aanvallers, aldus securitybedrijf SonarSource. Het bedrijf ontdekte een kritieke kwetsbaarheid in de monitoringsoplossing waardoor aanvallers beheerderstoegang tot de Zabbix-server kunnen krijgen en zelfs volledige netwerken kunnen overnemen.

Op Zabbix-servers waar SAML SSO-authenticatie is ingeschakeld, wat niet standaard is, is het mogelijk voor aanvallers om de authenticatie te omzeilen en beheerder te worden. Dit wordt veroorzaakt door een onveilige manier waarop Zabbix op clients sessiedata opslaat. "De authenticiteit van de sessie wordt nooit gevalideerd wanneer andere velden dan sessionid worden benaderd. Aangezien cookies volledig worden beheerd door clients, hebben ze gewoon controle over de sessie", aldus de onderzoekers.

Naast het feit dat SAML SSO-authenticatie moet zijn ingeschakeld, dient de aanvaller ook de gebruikersnaam van een Zabbix-gebruiker te weten. Dat is volgens de onderzoekers geen probleem, aangezien de Zabbix-frontend standaard met een Admin-gebruiker wordt geconfigureerd. De impact van de kwetsbaarheid, aangeduid als CVE-2022-23131, is op een schaal van 1 tot en met 10 met een 9.1 beoordeeld.

Zodra aanvallers als beheerder op de Zabbix-server zijn ingelogd kunnen ze niet alleen willekeurige code op de Zabbix-server uitvoeren, maar ook op alle clients waarop de agent draait. Dit is de software waarmee Zabbix andere systemen monitort. Het uitvoeren van code via de agent zou wel moeten zijn geconfigureerd, wat standaard niet het geval is. Een andere mogelijkheid om clients via de agent aan te vallen is via een andere kwetsbaarheid in de Zabbix-software (CVE-2021-46088).

SonarSource ontdekte ook een tweede probleem (CVE-2022-23134) waardoor het bestand setup.php niet alleen toegankelijk is voor super-administrators, maar ook voor ongeauthenticeerde gebruikers. Daardoor is het mogelijk om configuratiebestanden te overschrijven, ook al draait de Zabbix Web Frontend al. Door de configuratie naar een malafide database te laten wijzen kunnen aanvallers zo toegang tot het Zabbix-dashboard krijgen.

De kwetsbaarheden werden op 18 november vorig jaar aan Zabbix gerapporteerd. Op 14 december verscheen een update, maar die bleek de problemen niet te verhelpen en kon worden omzeild. Op 22 december deed Zabbix een tweede poging die wel afdoende bleek. Op 29 december bracht het bedrijf een advisory uit. SonarSource publiceerde op 16 februari de details van beide kwetsbaarheden.

Gisteren waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van beide kwetsbaarheden en heeft federale overheidsinstanties in de VS verplicht de updates voor 8 maart te installeren.

Reacties (10)
23-02-2022, 10:21 door Anoniem
Ik kan me nog herinneren in de de tijd van mysql 3 of zo, dat die zabbix mensen er totaal geen verstand, toen werd mijn database overbelast omdat elke sample een individuele insert was.

Als je niet de intelligentie hebt om te kunnen bedenken dat dat niet efficient is, hoe kan je dan met dezelfde intelligentie een veilig product neerzetten.
23-02-2022, 11:27 door Anoniem
Door Anoniem: Ik kan me nog herinneren in de de tijd van mysql 3 of zo, dat die zabbix mensen er totaal geen verstand, toen werd mijn database overbelast omdat elke sample een individuele insert was.

Als je niet de intelligentie hebt om te kunnen bedenken dat dat niet efficient is, hoe kan je dan met dezelfde intelligentie een veilig product neerzetten.

Ik weet nog dat er auto’s waren die hout als brandstof gebruiken.

Ofwel, klets niet zo. Overal worden fouten gemaakt, belangrijk is dat je er van leert en steeds beter wordt.
23-02-2022, 12:11 door Anoniem
Door Anoniem:
Door Anoniem: Ik kan me nog herinneren in de de tijd van mysql 3 of zo, dat die zabbix mensen er totaal geen verstand, toen werd mijn database overbelast omdat elke sample een individuele insert was.

Als je niet de intelligentie hebt om te kunnen bedenken dat dat niet efficient is, hoe kan je dan met dezelfde intelligentie een veilig product neerzetten.
...
Ofwel, klets niet zo. Overal worden fouten gemaakt, belangrijk is dat je er van leert en steeds beter wordt.

Toch kan dat niet de motivatie zijn om een kleuter achter het stuur van een bus te zetten. Je "dan leer je dat vanzelf wel" houding heeft zijn beperkingen.
23-02-2022, 14:07 door Anoniem
Onder Linux heeft zabbix weinig rechten. Je zal dus geen server kunnen overnemen.
Ik gebruik zelf geen zabbix maar nagios en daar heb ik ingesteld dat op de client alleen de geïnstalleerde local agent kan worden aangeroepen (dus niet willekeurige code). Daar kan dus weinig gebeuren behalve proberen plat te krijgen door die agent continue aan te roepen vanuit de server
Op de server kan het in principe ook weinig uithalen met zabbix user rechten. Makkelijk te fixen.
23-02-2022, 16:00 door Anoniem
Door Anoniem: Onder Linux heeft zabbix weinig rechten. Je zal dus geen server kunnen overnemen.
Ik gebruik zelf geen zabbix maar nagios en daar heb ik ingesteld dat op de client alleen de geïnstalleerde local agent kan worden aangeroepen (dus niet willekeurige code). Daar kan dus weinig gebeuren behalve proberen plat te krijgen door die agent continue aan te roepen vanuit de server
Op de server kan het in principe ook weinig uithalen met zabbix user rechten. Makkelijk te fixen.
Heeft een agent niet veel rechten op de server? Meestal zijn dit soort agents full admin, niet altijd nodig, maar het werkt wel, zeker icm remediation/custom scripts.

Maar wel een slechte dat men meerdere keren nodig had om dit te fixen.
23-02-2022, 23:57 door Anoniem
Door Anoniem:
Door Anoniem: Onder Linux heeft zabbix weinig rechten. Je zal dus geen server kunnen overnemen.
Ik gebruik zelf geen zabbix maar nagios en daar heb ik ingesteld dat op de client alleen de geïnstalleerde local agent kan worden aangeroepen (dus niet willekeurige code). Daar kan dus weinig gebeuren behalve proberen plat te krijgen door die agent continue aan te roepen vanuit de server
Op de server kan het in principe ook weinig uithalen met zabbix user rechten. Makkelijk te fixen.
Heeft een agent niet veel rechten op de server? Meestal zijn dit soort agents full admin, niet altijd nodig, maar het werkt wel, zeker icm remediation/custom scripts.

Maar wel een slechte dat men meerdere keren nodig had om dit te fixen.
Full admin rechten is zeer onverantwoordelijk. Een service met alleen leesrechten is voldoende. Je kijkt immers alleen toch..
24-02-2022, 10:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Onder Linux heeft zabbix weinig rechten. Je zal dus geen server kunnen overnemen.
Ik gebruik zelf geen zabbix maar nagios en daar heb ik ingesteld dat op de client alleen de geïnstalleerde local agent kan worden aangeroepen (dus niet willekeurige code). Daar kan dus weinig gebeuren behalve proberen plat te krijgen door die agent continue aan te roepen vanuit de server
Op de server kan het in principe ook weinig uithalen met zabbix user rechten. Makkelijk te fixen.
Heeft een agent niet veel rechten op de server? Meestal zijn dit soort agents full admin, niet altijd nodig, maar het werkt wel, zeker icm remediation/custom scripts.

Maar wel een slechte dat men meerdere keren nodig had om dit te fixen.
Full admin rechten is zeer onverantwoordelijk. Een service met alleen leesrechten is voldoende. Je kijkt immers alleen toch..

Nogal vaak heb je hoge rechten nodig _om_ allerlei systeem parameters uit te lezen .

du -sh /home/

logfiles van allerlei daemons lezen .
24-02-2022, 10:25 door Anoniem
Door Anoniem:
Door Anoniem: Ik kan me nog herinneren in de de tijd van mysql 3 of zo, dat die zabbix mensen er totaal geen verstand, toen werd mijn database overbelast omdat elke sample een individuele insert was.

Als je niet de intelligentie hebt om te kunnen bedenken dat dat niet efficient is, hoe kan je dan met dezelfde intelligentie een veilig product neerzetten.

Ik weet nog dat er auto’s waren die hout als brandstof gebruiken.

Ik geloof je niet , dat je dat hebt meegemaakt.

Verder: dat is geen excuus om _vandaag_ een houtgas auto te lanceren.

Evenmin als het een excuus is om een wereldwijd bereikbare telnet server te draaien, of een mail relay server voor de wereld te draaien.
Of een monolitische mail daemon met turing complete configuratie taal als root te laten draaien .
Er was een tijd dat dat kon - en de norm was .

Die tijd is voorbij - en dat kun je weten als je vandaag begint.
Zelf de redenen ontdekken waarom het niet meer kan is niet prijzenswaardig, maar gewoon dom.


Ofwel, klets niet zo. Overal worden fouten gemaakt, belangrijk is dat je er van leert en steeds beter wordt.

Klets jij niet zo . Het idee is dat als je nu begint dat je (al) geleerd hebt van fouten van je VOORGANGERS.

Standing on the shoulders of giants geeft meer vooruitgang dan wanneer iedereen op de grond begint.
24-02-2022, 17:22 door tuxick - Bijgewerkt: 24-02-2022, 17:22
Door Anoniem:
Door Anoniem: Onder Linux heeft zabbix weinig rechten. Je zal dus geen server kunnen overnemen.
Ik gebruik zelf geen zabbix maar nagios en daar heb ik ingesteld dat op de client alleen de geïnstalleerde local agent kan worden aangeroepen (dus niet willekeurige code). Daar kan dus weinig gebeuren behalve proberen plat te krijgen door die agent continue aan te roepen vanuit de server
Op de server kan het in principe ook weinig uithalen met zabbix user rechten. Makkelijk te fixen.
Heeft een agent niet veel rechten op de server? Meestal zijn dit soort agents full admin, niet altijd nodig, maar het werkt wel, zeker icm remediation/custom scripts.

Maar wel een slechte dat men meerdere keren nodig had om dit te fixen.
Nee, agent draait als user zabbix of zo. EnableRemoteCommands staat standaard uit, en als je UserParameter rechten nodig heeft gebruik je daar sudo voor.
25-02-2022, 14:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Onder Linux heeft zabbix weinig rechten. Je zal dus geen server kunnen overnemen.
Ik gebruik zelf geen zabbix maar nagios en daar heb ik ingesteld dat op de client alleen de geïnstalleerde local agent kan worden aangeroepen (dus niet willekeurige code). Daar kan dus weinig gebeuren behalve proberen plat te krijgen door die agent continue aan te roepen vanuit de server
Op de server kan het in principe ook weinig uithalen met zabbix user rechten. Makkelijk te fixen.
Heeft een agent niet veel rechten op de server? Meestal zijn dit soort agents full admin, niet altijd nodig, maar het werkt wel, zeker icm remediation/custom scripts.

Maar wel een slechte dat men meerdere keren nodig had om dit te fixen.
Full admin rechten is zeer onverantwoordelijk. Een service met alleen leesrechten is voldoende. Je kijkt immers alleen toch..

Nogal vaak heb je hoge rechten nodig _om_ allerlei systeem parameters uit te lezen .

du -sh /home/

logfiles van allerlei daemons lezen .
Wat een domme test (duurt ook nog eens veel te lang). Dat kan je veel beter met df -h (geen root rechten nodig). Specifieke log file leesbaar maken voor monitor user. Daar ga je toch geen admin rechten voor geven! Zie ook top en cat /proc/cpuinfo . Als er echt root rechten nodig zijn (zoals met de windows agent) gebruik je een sudo Cmnd_Alias zodat alleen dat mogelijk is als root.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.