Zabbix Addresses Multi Vulnerabilities, Including RCE CVE-2024-36461 (CVSS 9.1) Flaw
2024/08/13 SecurityOnline — OSS の監視ソリューションとして広く利用されている Zabbix が、重要な脆弱性に対処した一連のセキュリティ・アップデートをリリースしたが、その中には、CVE-2024-36461 (CVSS:9.1) も含まれる。この脆弱性により、Zabbix 内の単一項目のコンフィグレーション限定的にアクセスできるユーザーであっても、リモート・コード実行を介して監視インフラ全体の制御にいたる可能性が生じる。
この脆弱性は、JavaScript エンジンのメモリ・ポインタに対するダイレクトなアクセスから発生し、不正な改変を可能にしてしまうものだ。この脆弱性の悪用に成功した攻撃者が、監視対象システムや Zabbix プラットフォーム自体を完全に侵害し、データ漏洩/サービス停止などを引き起こし、さらなる攻撃を達成する可能性が生じる。
2023年にも、Zabbix の JavaScript エンジンで脆弱性が確認されたが、この問題は、その続報である。
影響を受けるバージョンと対策
Zabbix のバージョン 6.0.0〜6.0.30/6.4.0〜6.4.15/7.0.0alpha1〜7.0.0 が影響を受ける。Zabbix が強く推奨されるのは、最新の修正済みのバージョン 6.0.31rc1/6.4.16rc1/7.0.1rc1 への、早急なアップデートである。
この脆弱性 CVE-2024-36461 の発見により Zabbix チームは、その他の脆弱性にもパッチを適用するアップデートをリリースした:
- CVE-2024-22121 (CVSS 6.1)/CVE-2024-22121 (CVSS 6.1):権限昇格の脆弱性であり、管理者以外のユーザーに対して、重要なシステム機能への不正アクセスを許す可能性がある。
- CVE-2024-22122 (CVSS 3.0):コマンド・インジェクションの脆弱性であり、基本システム上の任意のコマンド実行を、攻撃者に許す可能性がある。
- CVE-2024-22123 (SVSS 2.7):任意のファイル読み取りの脆弱性であり、機密データの流出にいたる恐れがある。
- CVE-2024-22114 (CVSS 4.3):情報漏洩の脆弱性であり、監視対象ホストの機密情報を漏洩させる恐れがある。
- CVE-2024-36460 (CVSS 8.1): フロントエンドの監査ログに、パスワードを平文で表示する脆弱性。
- CVE-2024-36462 (CVSS 7.5)/CVE-2024-36462 (CVSS 7.5):サービス拒否攻撃に悪用される可能性のある、制御不能なリソース消費の脆弱性。
推奨事項
これらの脆弱性の重大性を考慮すると、早急な対応が極めて重要となる。Zabbix ユーザー対して、特に重要なインフラを管理しているユーザーに対して推奨されるのは、優先的にパッチ適用となる。
さらに、ユーザー組織においては、アクセス・コントロール・ポリシーを見直し、それぞれのユーザーに対して、必要最低限の権限が付与されていることを確認する必要がある。この最小特権の原則は、侵害の潜在的な影響を抑制するのに役立つ。
先ほど、「Zabbix の脆弱性 CVE-2024-22116 (CVSS 9.9) が FIX:システムの乗っ取りにいたる恐れ」という記事をポストし、そこからも、このページにリンクを貼っています。今度は、JaveScript の複数の脆弱性であり、最も深刻なものは CVE-2024-36461 (CVSS:9.1) となっています。ご利用のチームは、アップデートを お急ぎください。
IoT OT Security News 
You must be logged in to post a comment.