Monitoring-Tool Zabbix: Kritische Lücke ermöglicht Kontrollübernahme
Im Open-Source-Monitoring-Tool Zabbix klafft eine kritische SQL-Injection-Lücke. Angreifer können verwundbare Systeme vollständig übernehmen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Im Monitoring-Tool Zabbix wurde eine kritische Sicherheitslücke entdeckt. Angreifer können sie missbrauchen, um verwundbare Instanzen vollständig zu kompromittieren.
Wie der Hersteller der Open-Source-Software in einer Sicherheitsmitteilung angibt, können nicht-administrative Nutzerinnen und Nutzer mit der Standard-Nutzerrolle oder jeder anderen Rolle, die API-Zugriff ermöglicht, die SQL-Injection-Lücke ausnutzen. Die Lücke befindet sich in der addRelatedObjects-Funktion in der CUser-Klasse. Diese wird von der CUser.get-Funktion aufgerufen, auf die für jeden Nutzer mit API-Zugriff bereitsteht (CVE-2024-42327, CVSS 9.9, Risiko "kritisch").
Viele Zabbix-Server im Internet erreichbar
Die IT-Forscher von Qualys haben mit der FOFA-Suchmaschine mehr als 83.000 aus dem Internet erreichbare Zabbix-Instanzen gefunden. Verwundbar sind die Versionen 6.0.0-6.0.31, 6.4.0-6.4.16 und 7.0.0. Die Entwickler schließen die Lücke mit den Versionen 6.0.32rc1, 6.4.17rc1 und 7.0.1rc1. Inzwischen sind jedoch deutlich neuere Fassungen verfügbar – diese bessern die genannte und weitere Schwachstellen aus, sodass Admins auf diese neueren Versionen aktualisieren sollten.
Videos by heise
Die Release-Candidates stammen bereits aus dem Juli dieses Jahres, Informationen zu der Schwachstelle wurden jedoch erst jetzt veröffentlicht. Die neuen Versionen dichten zudem weitere Sicherheitslecks ab und korrigieren einige Fehler.
Zu den weiteren korrigierten sicherheitsrelevanten Fehlern gehören folgende:
- Authentication privilege escalation via user groups due to missing authorization checks (CVE-2024-36467, CVSS 7.5, hoch)
- JS - "atob" function allows to create private strings (CVE-2024-36463, CVSS 6.5, mittel)
- sysmapelementurlid causes the map element (url) feature crash (CVE-2024-22117, CVSS 2.2, niedrig)
Dazu, ob die Sicherheitslücken bereits angegriffen werden, macht der Hersteller keine Angaben. Wer noch ältere Fassungen der Open-Source-Software einsetzt, sollte jedoch rasch auf die neueren Stände aktualisieren.
Mitte August wurden kritische Sicherheitslücken in Zabbix bekannt, durch die Angreifer etwa Passwörter im Klartext einsehen oder Schadcode einschleusen konnten. Auch diese Lücken haben die Programmierer zunächst mit Release-Candidates geschlossen.
(dmk)
