Sicherheitslücken: Netzwerkmonitoringtool Zabbix kann Passwörter leaken

In aktuellen Ausgaben des Netzwerkmonitoringtools Zabbix haben die Entwickler insgesamt acht Sicherheitslücken geschlossen. Nach erfolgreichen Attacken können Angreifer etwa Passwörter im Klartext einsehen oder sogar Schadcode ausführen.

Gefährliche Lücken

In den unten verlinkten Warnmeldungen finden Admins weitere Informationen zu den Schwachstellen und bedrohten Versionen. Am gefährlichsten gilt eine Lücke (CVE-2024-22116) nach deren Ausnutzung Angreifer eigenen Code im Kontext des Ping-Skripts ausführen können. Das klappt aber nur, wenn Angreifer bereits Admins mit begrenzten Berechtigungen sind. Trotz dieser Hürde gilt die Schwachstelle als "kritisch", weil darüber ganze IT-Infrastrukturen kompromittierbar sind.

Weiterhin zeigt das Front-End-Audit-Log Passwörter im Klartext an (CVE-2024-36460 "hoch"). Außerdem können Angreifer Systeme via DoS-Attacke lahmlegen (CVE-2024-36462 "hoch") oder die Integrität einer Zabbix-Installation gefährden (CVE-2024-22121 "mittel").

Sicherheitsupdates

Die Entwickler geben an, die Lücken in den Ausgaben 5.0.43rc1, 6.0.31rc1, 6.4.16rc1 und 7.0.0rc3 geschlossen zu haben.

Liste nach Bedrohungsgrad absteigend sortiert:

• Remote code execution within ping script (CVE-2024-22116)
• Direct access to memory pointers within the JS engine for modification (CVE-2024-36461)
• Front-end auditlog shows passwords in plaintext (CVE-2024-36460)
• Allocation of resources without limits or throttling (uncontrolled resource consumption) (CVE-2024-36462)
• Zabbix Agent MSI Installer Allows Non-Admin User To Access Change Option via msiexec.exe (CVE-2024-22121)
• System Information Widget in Global View Dashboard exposes information about Hosts to Users without Permission (CVE-2024-22114)
• AT(GSM) Command Injection (CVE-2024-22122)
• Zabbix Arbitrary File Read (CVE-2024-22123)

(des)