{"id":262883,"date":"2022-02-25T11:12:48","date_gmt":"2022-02-25T10:12:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262883"},"modified":"2024-07-04T21:42:35","modified_gmt":"2024-07-04T19:42:35","slug":"cisa-warnt-2-zabbix-schwachstellen-werden-aktiv-ausgenutzt-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/25\/cisa-warnt-2-zabbix-schwachstellen-werden-aktiv-ausgenutzt-patchen\/","title":{"rendered":"CISA warnt: 2 Zabbix-Schwachstellen werden aktiv ausgenutzt, patchen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/02\/25\/cisa-warnt-2-zabbix-schwachstellen-werden-aktiv-ausgenutzt-patchen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Keine Ahnung, ob jemand aus der Leserschaft das Netzwerk-Monitoring-System Zabbix einsetzt. Vor einigen Tagen wurden zwei Schwachstellen CVE-2022-23131 und CVE-2022-23134 \u00f6ffentlich. Und es gibt ein Zabbix-Update, um diese Schwachstellen zu beseitigen. Jetzt warnt die CISA, dass die beiden Schwachstellen bereits aktiv in Angriffen ausgenutzt werden. Ich habe mal nachgesehen, auch in Deutschland ist wohl eine dreistellige Anzahl an Zabbix-Servern per Internet erreichbar &#8211; sagt jedenfalls Shodan.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist Zabbix?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/9763754665b7472cb6b367ec8addfa85\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Zabbix\" target=\"_blank\" rel=\"noopener\">Zabbix<\/a> ist ein Open-Source-Netzwerk-Monitoringsystem, welches der \u00dcberwachung von IT-Infrastrukturen dient. Das Produkt besteht aus <i>Zabbix-Server<\/i>, dem <i>Zabbix-Proxy<\/i> und <i>Zabbix-Agent<\/i>. Entwickelt wurde die Software\u00a0 haupts\u00e4chlich von Alexei Vladishev, wobei Zabbix von der Firma Zabbix SIA weiterentwickelt wird. heise hat zum 17.2.2022 den Beitrag <a href=\"https:\/\/www.heise.de\/news\/Hochverfuegbarkeit-tag-basiertes-Monitoring-schickes-GUI-Zabbix-6-0-ist-da-6484558.html\" target=\"_blank\" rel=\"noopener\">Hochverf\u00fcgbarkeit, tag-basiertes Monitoring, schickes GUI: Zabbix 6.0 ist da<\/a> zu diesem Produkt ver\u00f6ffentlicht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/iXmagazin\/status\/1494227901545385984\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Zabbix 6.0\" src=\"https:\/\/i.imgur.com\/era9idW.png\" alt=\"Zabbix 6.0\" \/><\/a><\/p>\n<p>\u00dcber die Suchmaschine <a href=\"https:\/\/www.shodan.io\/search?query=zabbix\" target=\"_blank\" rel=\"noopener\">Shodan<\/a> werden mir \u00fcber 3.400 Zabbix-Instanzen, die per Internet erreichbar sind, aufgelistet. Auch in Deutschland gibt es Instanzen, die per Internet verf\u00fcgbar sind. Ich habe aber keine Auswertung \u00fcber den Patchstand gemacht.<\/p>\n<p><a href=\"https:\/\/www.shodan.io\/search?query=zabbix\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Zabbix Instances\" src=\"https:\/\/i.imgur.com\/y3MDd8H.png\" alt=\"Zabbix Instances\" \/><\/a><\/p>\n<h2>Schwachstellen CVE-2022-23131 und CVE-2022-23134<\/h2>\n<p>Zum 16. Februar 2022 hat der Sicherheitsanbieter SonarSource den Beitrag <a href=\"https:\/\/blog.sonarsource.com\/zabbix-case-study-of-unsafe-session-storage\" target=\"_blank\" rel=\"noopener\">Zabbix &#8211; A Case Study of Unsafe Session Storage<\/a> mit Details zu zwei Schwachstellen in Zabbix ver\u00f6ffentlicht. Die Sicherheitsforscher haben eine hochgef\u00e4hrliche Schwachstelle in der Zabbix-Implementierung von clientseitigen Sitzungen entdeckt, die zur Kompromittierung ganzer Netzwerke f\u00fchren kann.<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-23131\" target=\"_blank\" rel=\"noopener\">CVE-2022-23131<\/a>: Auf Instanzen, wo die SAML SSO-Authentifizierung aktiviert ist (nicht standardm\u00e4\u00dfig), k\u00f6nnen Sitzungsdaten von einem b\u00f6swilligen Akteur ge\u00e4ndert werden, da eine in der Sitzung gespeicherte Benutzeranmeldung nicht verifiziert wurde. Ein b\u00f6swilliger, nicht authentifizierter Akteur kann dieses Problem ausnutzen, um seine Privilegien zu erweitern und Administratorzugriff auf Zabbix Frontend zu erhalten. Zur Durchf\u00fchrung des Angriffs muss die SAML-Authentifizierung aktiviert sein und der Angreifer muss den Benutzernamen des Zabbix-Benutzers kennen (oder das Gastkonto verwenden, das standardm\u00e4\u00dfig deaktiviert ist).<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-23134\" target=\"_blank\" rel=\"noopener\">CVE-2022-23134<\/a>: Nach dem initialen Setup sind einige Schritte in der Datei <em>setup.php <\/em>nicht nur f\u00fcr Super-Administratoren, sondern auch f\u00fcr nicht authentifizierte Benutzer zug\u00e4nglich. Ein b\u00f6swilliger Akteur kann diese Schrittpr\u00fcfungen passieren und m\u00f6glicherweise die Konfiguration des Zabbix Frontend \u00e4ndern.<\/li>\n<\/ul>\n<p>Die entdeckten Schwachstellen betreffen alle unterst\u00fctzten Zabbix Web Frontend Versionen bis einschlie\u00dflich 5.4.8, 5.0.18 und 4.0.36. Sie erfordern keine Vorkenntnisse \u00fcber das Ziel und k\u00f6nnen von Angreifern m\u00fchelos automatisiert werden. Die Sicherheitsforscher empfehlen dringend, Ihre Instanzen, auf denen ein Zabbix Web Frontend l\u00e4uft, auf 6.0.0beta2, 5.4.9, 5.0.19 oder 4.0.37 zu aktualisieren, um die Netzwerk-Infrastruktur zu sch\u00fctzen.<\/p>\n<h2>CISA warnt vor Ausnutzung der Schwachstellen<\/h2>\n<p>Die\u00a0 US-Beh\u00f6rde f\u00fcr Cybersicherheitsinfrastruktur und -sicherheit (CISA) hat die US-Bundesbeh\u00f6rden aufgefordert, alle von ihnen betriebenen Zabbix-Server zu patchen. Denn es wurde bekannt, dass dass Bedrohungsakteure damit begonnen haben, die beiden oben genannten Sicherheitsl\u00fccken zu nutzen, um ungepatchte Systeme zu \u00fcbernehmen. Auch das nationale Cyber Sicherheitszentrum der Niederlande <a href=\"https:\/\/web.archive.org\/web\/20240103190733\/https:\/\/www.ncsc.nl\/actueel\/advisory?id=NCSC-2022-0056\" target=\"_blank\" rel=\"noopener\">warnt<\/a> vor den Schwachstellen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/campuscodi\/status\/1496852315827236865\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Zabbix vulnerabilities exploited in the wild\" src=\"https:\/\/i.imgur.com\/HCd3JeN.png\" alt=\"Zabbix vulnerabilities exploited in the wild\" \/><\/a><\/p>\n<p>Obigem <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1496852315827236865\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> ist zu entnehmen, dass es auch einen Proof of Concept (PoC) Exploit gibt, der seit dem Wochenende <a href=\"https:\/\/github.com\/Mr-xn\/cve-2022-23131\" target=\"_blank\" rel=\"noopener\">\u00f6ffentlich<\/a> ist. Die Kollegen <a href=\"https:\/\/therecord.media\/cisa-zabbix-servers-under-attack-with-recently-disclosed-vulnerability\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cisa-warns-of-actively-exploited-vulnerabilities-in-zabbix-servers\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> haben entsprechende Artikel zur CISA-Warnung ver\u00f6ffentlicht. Falls jemand Zabbix einsetzt, w\u00e4re also handeln angesagt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Keine Ahnung, ob jemand aus der Leserschaft das Netzwerk-Monitoring-System Zabbix einsetzt. Vor einigen Tagen wurden zwei Schwachstellen CVE-2022-23131 und CVE-2022-23134 \u00f6ffentlich. Und es gibt ein Zabbix-Update, um diese Schwachstellen zu beseitigen. Jetzt warnt die CISA, dass die beiden Schwachstellen bereits &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/02\/25\/cisa-warnt-2-zabbix-schwachstellen-werden-aktiv-ausgenutzt-patchen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262883","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262883"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262883\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}