Security Affairs 信息网站披露,美国网络安全基础设施和安全局(CISA) 在已知的漏洞目录中增加了两个 Zabbix 漏洞。漏洞会影响 Zabbix 基础设施监控工具。
漏洞详情如下表所示:
根据具有约束力的操作指令(BOD) 22-01要求:为降低已知被利用漏洞的重大风险 ,FCEB 机构必须在截止日期前(3.8),解决已使用的漏洞,避免网络攻击。此外,网络安全专家建议各组织尽快审查,并积极解决基础设施漏洞。
值得一提的是,CISA 命令所有联邦民事行政部门 (FCEB) 在2022年 3月 8日前解决这两个问题Zabbix 漏洞。
漏洞分析
- 第一个漏洞:跟踪 CVE-2022-23131 (CVSS 评分:9.8),攻击者可以通过配置 SAML 的 Zabbix 绕过并接管前端身份验证。
- 第二个漏洞:跟踪 CVE-2022-23134 (CVSS 评分:5.3),攻击者可以使用它成功地通过步骤检查,并可能改变 Zabbix 前端配置。
这两个漏洞都是SonarSource 研究员 Thomas Chauchefoin 披露,受影响Zabbix Web 版本主要包括: 5.4.8、5.0.18 和 4.0.36。
Zabbix 漏洞时间表:
参考文章:
https://securityaffairs.co/wordpress/128374/hacking/cisa-zabbix-flaws.html