欢迎user
威胁预警团队
2021/01/13
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix能监视各种网络参数,保证服务器系统的安全运营, 并提供灵活的通知机制以让系统管理员能够快速定位并解决存在的各种问题。Zabbix 由 Zabbix server与可选组件Zabbix agent两部分共同构成。Zabbix server可以通过SNMP,Zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等平台上。
2020年10月9日,Zabbix 官方公布了CVE-2020-11800的安全公告, 公告表示在Zabbix proxy3.0-3.0.31版本和Zabbix server 3.0-3.0.31版本存在远程代码执行漏洞。
2021年1月11日,新华三攻防实验室威胁预警团队监测到互联网上公开了CVE-2020-11800 远程代码执行漏洞的利用细节,该漏洞被黑客利用的风险大大增加。
该漏洞是由于对 CVE-2017-2824 Zabbix 远程代码执行漏洞修复不完全导致的。如果管理员在Zabbix Server开启了自动注册功能,任何人都可主动将主机注册给Server进行监控。由于没有对IP的参数进行校验,导致可在IP后拼接命令,Zabbix Server在接收到添加主机的命令后,攻击者通过请求添加主机的Host ID的自带监控命令,就可以执行拼接在IP后的命令。Zabbix 官方对CVE-2017-2824的修复方式是对IP进行校验,但修复的并不完善,导致可以利用CVE-2020-11800对IPv6进行绕过,注入任意命令。
使用docker搭建Zabbix环境,在服务端开启自动注册功能。向服务端发送恶意添加的host请求,然后请求该host id自带的监控命令,可以看到命令执行成功,成功创建success文件。
受影响版本:
Zabbix 2.2.18 - 2.2.23
Zabbix 3.0 – 3.0.30
Zabbix 3.2 - 3.2.11
官方发布的新版本已经修复了此漏洞,请受影响的用户升级 Zabbix版本。下载地址:
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.117版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。