CVE-2024-42327 (CVSS 9.9): Critical SQL Injection Vulnerability Found in Zabbix
2024/11/27 SecurityOnline — Zabbix が公表したのは、SQL インジェクションの脆弱性 CVE-2024-42327 (CVSS:9.9) の発見に関する情報である。この脆弱性を悪用する攻撃者は、権限の昇格を達成し、Zabbix インスタンスの完全な制御を手にするとされる。したがって、世界中の組織で使用されている人気の OSS IT インフラ監視ツールにより、機密性の高いデータや接続されたシステムが危険に直面することになる。
この脆弱性は、user.get API エンドポイントに存在し、API アクセス権を持つ、管理者以外のユーザーにより悪用される可能性が生じる。その中には、デフォルトの “User” ロールを持つユーザーも含まれる。特定の API コールを操作する攻撃者により、不正なアクセスとコントロールを許可する、悪意の SQL コードが挿入されてしまう。
影響と悪用
CVE-2024-42327 の悪用に成功した攻撃者は、以下のような状況を引き起こす可能性を得る:
- データ侵害:システム・コンフィグ/パフォーマンス・メトリック/ユーザー資格情報などの、機密性の高い監視データへのアクセスと窃取。
- システム侵害:昇格した権限を悪用して、基盤となる Zabbix サーバを侵害し、接続されている他のシステムへと侵入する可能性。
- サービス拒否:重要なデータを操作し、削除することによる、監視操作の妨害。
緩和と修復
すでに Zabbix は、以下のバージョンをリリースし、この脆弱性に対処している:
- 6.0.32rc1
- 6.4.17rc1
- 7.0.1rc1
Zabbix を使用する組織に対して強く推奨されるのは、最新のパッチ適用バージョンへと、ただちに更新することだ。さらに、ユーザーの役割と権限を確認し、許可された担当者だけに、API アクセスを提供すべきである。
脆弱性の発見と開示
この脆弱性は、セキュリティ研究者である Mark Rakoczi により発見され、HackerOne バグ・バウンティ・プラットフォームを通じて報告された。この報告を確認した Zabbix は、問題に対処するためのパッチを迅速にリリースした。
Zabbix の脆弱性が FIX しました。CVSS 9.9 の SQLi の脆弱性ですので、ご利用のチームは、ご注意ください。直近の Zabbix 関連のトピックは、2024/08/13 の「Zabbix の RCE 脆弱性 CVE-2024-36461 (CVSS 9.1) などが FIX:ただちにアップデートを!」です。よろしければ、Zabbix で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.