کشف آسیب‌پذیری بحرانی اجرای کد دلخواه در ابزار zabbix

"Monitoring Hosts" بخشی از سیستم‌ نظارتی و مدیریت شبکه zabbix است که مسئولیت نظارت بر وضعیت سرورها، دستگاه‌ها، و سایر اجزای شبکه را برعهده دارد. این بخش معمولاً شامل مجموعه‌ای از ابزارها و قابلیت‌ها است که به مدیران شبکه امکان می‌دهد وضعیت سلامت، دسترس‌پذیری، تحلیل پارامترهای عملکردی دستگاه‌های مختلف در شبکه را به صورت  مداوم بررسی کنند در این راستا امکان اجرای اسکریپت‌ها و دستورات خاص برای انجام وظایف مدیریت و نگهداری مانند Ping کردن یک سرور برای بررسی وضعیت دسترسی فراهم شده است.
آسیب‌پذیری  CVE-2024-22116 با شدت 9.9  به بخش اجرای عملیات خودکار (Automated Actions) و مانیتورینگ دسترس‌پذیری و عملکرد (Remote Commands) در Zabbix  به ویژه در سناریوهایی که از اجرای اسکریپت‌ها برای انجام عملیات نظارتی و مدیریتی استفاده می‌شود مرتبط است و در صورتی که توسط یک مدیر با دسترسی محدود به صورت نادرست مورد استفاده قرار گیرد به مهاجم اجازه میدهد تا کدهای دلخواه خود را در زیرساخت‌های شبکه اجرا کند و کنترل کامل سیستم‌ها را بدست آورد یا اطلاعات حساس را سرقت کند. چگونگی وقوع آسیب‌پذیری به صورت زیر است:
1. ورود پارامترهای ناامن:  اگر در اجرای اسکریپت‌ها یا دستورات خودکار، پارامترها به درستی بررسی و تصحیح نشوند، کاربر مدیر با دسترسی محدود می‌تواند از این نقاط ضعف استفاده کرده و حین اجرای ping دستورات مخرب خود را وارد کند.
2. اجرا در سطح دسترسی بالا:  هر گاه دستور ping  در نسخه آسیب‌پذیر با سطح دسترسی مدیر محدود اجرا شود، مهاجم می‌تواند از این آسیب‌پذیری برای دسترسی به بخش‌های حساس سیستم، تغییر تنظیمات مهم و اجرای کدهای دلخواه خود در زیرساخت‌های شبکه استفاده کند.
3. نبود مکانیزم‌های امنیتی:  اگر Zabbix به درستی پیکربندی نشده باشد و مکانیزم‌های امنیتی مانند محدودیت‌های دسترسی، بررسی ورودی‌ها، و محدود کردن دسترسی به اجرای دستورات خاص وجود نداشته باشد، این آسیب‌پذیری می‌تواند توسط مهاجمان بهره‌برداری شود.

محصولات تحت تاثیر
تمامی نسخه‌های نرم‌افزار بین نسخه 6.4.0 تا 6.4.15 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند.
تمامی نسخه‌های نرم‌افزار بین alpha1  7.0.0 تا  rc2 7.0.0 (شامل هر دو نسخه) تحت تأثیر این آسیب‌پذیری قرار دارند. این نسخه‌ها شامل نسخه‌های آزمایشی اولیه (alpha) و نسخه‌های کاندیدای انتشار (rc) می‌شوند.
بسیاری از ابزارهای مانیتورینگ که قابلیت‌های "Monitoring Hosts" و اجرای اسکریپت‌های خودکار را دارند در صورت نبود مکانیزم‌های امنیتی مناسب ممکن است در معرض آسیب‌پذیری‌های مشابه CVE-2024-22116 قرار گیرند.

توصیه‌های امنیتی
ایمن‌سازی ورودی‌ها:  ورودی‌های کاربران در هر قسمتی که کاربران دستوراتی را اجرا می کنند بررسی و فیلتر گردند تا از ورود دستورات مخرب توسط مهاجم جلوگیری شود.
محدود کردن دسترسی: دسترسی به قابلیت اجرای عملیات خودکار و کدها به کاربرانی با دسترسی‌های محدود داده شود.
به‌روز رسانی امنیتی: نرم‌افزار به نسخه‌های ایمن بروزرسانی گردد. نسخه rc1  6.4.16 و تمامی نسخه‌های بعد از آن در شاخه 6.4 ، همچنین نسخه rc3 7.0.0 و تمام نسخه‌های بعد از آن تحت تأثیر این آسیب‌پذیری قرار ندارند.
 

منابع خبر:

[1] https://www.cve.org/CVERecord?id=CVE-2024-22116
[2] https://support.zabbix.com/browse/ZBX-25003