Security Affairs 資訊網(wǎng)站披露，美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和安全局(CISA) 在其已知被利用漏洞目錄中，新增了兩個 Zabbix 漏洞。據(jù)悉，漏洞會影響 Zabbix 基礎(chǔ)設(shè)施監(jiān)控工具。

漏洞詳情如下表：

根據(jù)具有約束力的操作指令(BOD) 22-01要求：為了降低已知被利用漏洞的重大風(fēng)險 ，F(xiàn)CEB 機構(gòu)必須在截止日期前(3.8)，解決已經(jīng)被利用的漏洞，以避免網(wǎng)絡(luò)攻擊。另外，網(wǎng)絡(luò)安全專家建議各組織盡快審查，并積極解決其基礎(chǔ)設(shè)施中的漏洞。

值得一提的是，CISA 命令所有聯(lián)邦民事行政部門機構(gòu) (FCEB) 在2022 年 3 月 8 日之前，解決這兩個Zabbix 漏洞。

漏洞分析

• 第一個漏洞：跟蹤為 CVE-2022-23131 (CVSS 評分：9.8)，攻擊者可以通過配置 SAML 的 Zabbix 前端實現(xiàn)身份驗證繞過、接管。
• 第二個漏洞：跟蹤為 CVE-2022-23134 (CVSS 評分：5.3)，攻擊者可以利用它順利通過步驟檢查并可能更改 Zabbix 前端的配置。

這兩個漏洞是由 SonarSource 研究員 Thomas Chauchefoin 披露，受影響的Zabbix Web 版本主要包括： 5.4.8、5.0.18 和 4.0.36。

Zabbix 漏洞時間表：

參考文章：

https://securityaffairs.co/wordpress/128374/hacking/cisa-zabbix-flaws.html