CISA, Zabbix Sunucularında Aktif Olarak Yararlanılan Güvenlik Açıkları Konusunda Uyardı
ABD Siber Güvenlik Altyapı ve Güvenlik Ajansı'ndan (CISA) yapılan bir bildirim, tehdit aktörlerinin ağları, sunucuları, sanal makineleri ve bulut hizmetlerini izlemek için Zabbix açık kaynak aracındaki güvenlik açıklarından yararlandığı konusunda uyarıyor.
Ajans, kötü niyetli siber aktörlerden kaynaklanan “önemli risklerden” kaçınmak için federal kurumlardan herhangi bir Zabbix sunucusunu CVE-2022-23131 ve CVE-2022-23134 olarak izlenen güvenlik sorunlarına karşı yama yapmasını istiyor.
Aynı uyarı, güvenlik açıklarından birinin 10 üzerinden 9,1 kritik önem puanına sahip olduğunu kaydeden Ukrayna Bilgisayar Acil Müdahale Ekibi'nden (CERT) geliyor.
Herkese açık istismarlar
Zabbix Frontend'i etkileyen CVE-2022-23131 için kavram kanıtı açıklarından yararlanma kodu, 21 Şubat'tan itibaren birden fazla araştırmacı tarafından herkese açık olarak paylaşıldı.
Bu güvenlik sorunundan yararlanan bir saldırgan, yapılandırılmış Güvenlik Onayı Biçimlendirme Dili (SAML, varsayılan olmayan bir durum) olan sunucularda kimlik doğrulamasını atlayabilir.
SAML, bir kimlik sağlayıcı ile bir hizmet sağlayıcı arasında veri alışverişi yapan tek bir kimlik doğrulama noktası (tek oturum açma) sağlayan açık bir standarttır.
Hollanda'daki Ulusal Siber Güvenlik Merkezi, güvenlik açığından aktif olarak yararlanıldığı konusunda uyarıyor ve kök ayrıcalıklarıyla uzaktan kod yürütülmesine izin verebilir.
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT), Zabbix sunucularının iki güvenlik açığına, özellikle de CVE-2022-23131'e karşı yama uygulanmadan bırakılması riski hakkında da bir uyarı yayınladı.
“SAML SSO kimlik doğrulaması etkinse (varsayılan olarak değil), oturumda depolanan kullanıcı oturum açma bilgileri doğrulanmadığından, oturum verileri bir saldırgan tarafından değiştirilebilir. Bu, denenmemiş bir saldırganın ayrıcalıklar elde etmek ve Zabbix Frontend'e yönetici erişimi elde etmek için bu güvenlik açığından yararlanmasına olanak tanır” - Ukrayna CERT
İkinci güvenlik açığı, CVE-2022-23134, saldırganların yapılandırma dosyasını (setup.php komut dosyası) değiştirmesine ve yükseltilmiş ayrıcalıklarla panoya erişim kazanmasına olanak tanıyan orta derecede önemdeki hatalı erişim denetimi sorunudur.
İki güvenlik açığı, bulgularını bu ayın başlarında teknik bir raporda yayınlayan SonarSource araştırmacıları tarafından keşfedildi ve CVE-2022-23131'den yararlanmanın "basit olduğunu, özellikle de Zabbix Web Frontend'in otomatik olarak yüksek ayrıcalıklı bir kullanıcıyla yapılandırıldığını belirtti.”
Zabbix projesinin sahipleri, her iki sorunu da ele alan güncellemeler (5.4.9, 5.0.9 ve 4.0.37 sürümleri) yayınladı ve özellikle aktif kullanım bağlamında bunların kurulması şiddetle tavsiye edilir.
CISA, sık görülen bir saldırı vektörünü temsil eden Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna güvenlik açıklarını ekledi ve federal kurumlardan 8 Mart'a kadar mevcut yamaları yüklemelerini istiyor.
| CVE kimliği | Güvenlik Açığı Adı | Bitiş tarihi |
| CVE-2022-23131 | Zabbix Ön Uç Kimlik Doğrulamayı Atlama Güvenlik Açığı | 3/8/2022 |
| CVE-2022-23134 | Zabbix Ön Uç Uygunsuz Erişim Denetimi Güvenlik Açığı | 3/8/2022
|
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
