CISA 警告:Zabbix サーバーの深刻な脆弱性を悪用リストに追加

CISA warns of actively exploited vulnerabilities in Zabbix servers

2022/02/25 BleepingComputer — 米国の Cybersecurity Infrastructure and Security Agency (CISA) からの通知は、ネットワーク/サーバー/仮想マシン/クラウドサービスを監視するオープンソース・ツール Zabbix の脆弱性を、脅威アクターが悪用していると警告している。CISA は、悪意の脅威アクターによる深刻なリスクを回避するために、Zabbix サーバーに存在する脆弱性 CVE-2022-23131/CVE-2022-23134 対して、パッチを当てるよう連邦機関に要請している。また、ウクライナの CERT からも同様の警告が出ており、脆弱性のうちの1つは深刻度スコアが 9.1 だと指摘されている。

公開されているエクスプロイト

Zabbix フロントエンドに影響を与える脆弱性 CVE-2022-23131 に対しては、2月21日から PoC エクスプロイトが、複数の研究者により公に共有されている。この脆弱性の悪用に成功した攻撃者は、Security Assertion Markup Language (SAML : non-default) が設定されたサーバーであっても、認証をバイパスすることが可能となる。

SAML は、ID プロバイダーとサービス・プロバイダー間で、データを交換するシングルポイント認証 (single sign-on) を提供するオープン・スタンダードである。

オランダの National Cyber Security Center の警告によると、この脆弱性は活発に悪用されており、root 権限でのリモートコード実行が可能になるとしている。また、ウクライナの CERT は、特に脆弱性 CVE-2022-23131 について、Zabbix サーバーを未パッチで放置することの危険性について警告を発表している。

Ukraine CERT は、「SAML SSO 認証が有効な場合 (デフォルトでは無効)、セッションに保存されたユーザー・ログインが検証されないため、攻撃者によりセッション・データを改ざんされる可能性が生じる。それにより、未検証の攻撃者が、この脆弱性を悪用して特権を獲得し、Zabbix Frontend の root 権限を取得することが可能となる」と述べている。

2つ目の脆弱性 CVE-2022-23134 は、不適切なアクセス制御の問題であり、深刻度 Medium である。その悪用に成功した攻撃者は、が設定ファイル (setup.php スクリプト) を変更し、昇格した権限でダッシュボードにアクセスできるようになる。

これらの2つの脆弱性は、SonarSource の研究者により発見され、今月の初めに技術レポートが発表されている。特に Zabbix Web Frontend は Adminという高特権ユーザで自動的に設定されているため、CVE-2022-23131 の悪用は簡単だと指摘されている。

Zabbix プロジェクトのメンテナは、これらの2つの問題に対応したアップデート (Ver 5.4.9/5.0.9/4.0.37) をリリースしており、悪用が活発な状況にあるためインストールが強く推奨されている。CISA は、この脆弱性に関して、頻繁に悪用される攻撃ベクターを持つものとして、Known Exploited Vulnerabilities Catalog に追加し、連邦政府機関に対しては3月8日までに、利用可能なパッチをインストールするよう要請している。

CVE IDVulnerability NameDue Date
CVE-2022-23131Zabbix Frontend Authentication Bypass Vulnerability3/8/2022
CVE-2022-23134Zabbix Frontend Improper Access Control Vulnerability3/8/2022

モニタリングのための製品は、多くの権限を与えられるケースが大半なので、その脆弱性の影響は深刻なものになりがちです。お隣のキュレーション・チームに確認したら、CVE-2022-23131 の CVSS 値は 9.8で、CVE-2022-23134 の方は 5.3 です。ウクライナの Ukraine CERT もレポートしているようなので、ロシアからの攻撃ベクターに含まれるのかもしれません、ともに、2月24日にレポートしているとのことでした。パッチがマダの方、お急ぎください。

%d bloggers like this: