zabbix

CISA, Zabbix Sunucularında Aktif Olarak Yararlanılan Güvenlik Açıkları Konusunda Uyardı

ABD Siber Güvenlik Altyapı ve Güvenlik Ajansı'ndan (CISA) yapılan bir bildirim, tehdit aktörlerinin ağları, sunucuları, sanal makineleri ve bulut hizmetlerini izlemek için Zabbix açık kaynak aracındaki güvenlik açıklarından yararlandığı konusunda uyarıyor.

Ajans, kötü niyetli siber aktörlerden kaynaklanan “önemli risklerden” kaçınmak için federal kurumlardan herhangi bir Zabbix sunucusunu CVE-2022-23131 ve CVE-2022-23134 olarak izlenen güvenlik sorunlarına karşı yama yapmasını istiyor.

Aynı uyarı, güvenlik açıklarından birinin 10 üzerinden 9,1 kritik önem puanına sahip olduğunu kaydeden Ukrayna Bilgisayar Acil Müdahale Ekibi'nden (CERT) geliyor.

Herkese açık istismarlar

Zabbix Frontend'i etkileyen CVE-2022-23131 için kavram kanıtı açıklarından yararlanma kodu, 21 Şubat'tan itibaren birden fazla araştırmacı tarafından herkese açık olarak paylaşıldı.

Bu güvenlik sorunundan yararlanan bir saldırgan, yapılandırılmış Güvenlik Onayı Biçimlendirme Dili (SAML, varsayılan olmayan bir durum) olan sunucularda kimlik doğrulamasını atlayabilir.

CISA, Zabbix Sunucularında Aktif Olarak Yararlanılan Güvenlik Açıkları Konusunda Uyardı Click to Tweet

SAML, bir kimlik sağlayıcı ile bir hizmet sağlayıcı arasında veri alışverişi yapan tek bir kimlik doğrulama noktası (tek oturum açma) sağlayan açık bir standarttır.

Hollanda'daki Ulusal Siber Güvenlik Merkezi, güvenlik açığından aktif olarak yararlanıldığı konusunda uyarıyor ve kök ayrıcalıklarıyla uzaktan kod yürütülmesine izin verebilir.

Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT), Zabbix sunucularının iki güvenlik açığına, özellikle de CVE-2022-23131'e karşı yama uygulanmadan bırakılması riski hakkında da bir uyarı yayınladı.

“SAML SSO kimlik doğrulaması etkinse (varsayılan olarak değil), oturumda depolanan kullanıcı oturum açma bilgileri doğrulanmadığından, oturum verileri bir saldırgan tarafından değiştirilebilir. Bu, denenmemiş bir saldırganın ayrıcalıklar elde etmek ve Zabbix Frontend'e yönetici erişimi elde etmek için bu güvenlik açığından yararlanmasına olanak tanır” - Ukrayna CERT

İkinci güvenlik açığı, CVE-2022-23134, saldırganların yapılandırma dosyasını (setup.php komut dosyası) değiştirmesine ve yükseltilmiş ayrıcalıklarla panoya erişim kazanmasına olanak tanıyan orta derecede önemdeki hatalı erişim denetimi sorunudur.

İki güvenlik açığı, bulgularını bu ayın başlarında teknik bir raporda yayınlayan SonarSource araştırmacıları tarafından keşfedildi ve CVE-2022-23131'den yararlanmanın "basit olduğunu, özellikle de Zabbix Web Frontend'in otomatik olarak yüksek ayrıcalıklı bir kullanıcıyla yapılandırıldığını belirtti.”

Zabbix projesinin sahipleri, her iki sorunu da ele alan güncellemeler (5.4.9, 5.0.9 ve 4.0.37 sürümleri) yayınladı ve özellikle aktif kullanım bağlamında bunların kurulması şiddetle tavsiye edilir.

CISA, sık görülen bir saldırı vektörünü temsil eden Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna güvenlik açıklarını ekledi ve federal kurumlardan 8 Mart'a kadar mevcut yamaları yüklemelerini istiyor.

CVE kimliğiGüvenlik Açığı AdıBitiş tarihi
CVE-2022-23131Zabbix Ön Uç Kimlik Doğrulamayı Atlama Güvenlik Açığı3/8/2022
CVE-2022-23134Zabbix Ön Uç Uygunsuz Erişim Denetimi Güvenlik Açığı3/8/2022

 


Kaynak: https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-vulnerabilities-in-zabbix-servers/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

CISA, Zabbix Sunucularında Aktif Olarak Yararlanılan Güvenlik Açıkları Konusunda Uyardı