關于zabbix存在SQL注入高危漏洞的安全公告

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了zabbix存在的SQL注入漏洞（CNVD-2016-06408）。攻擊者利用漏洞無需授權登錄即可控制zabbix管理系統，或通過(guò)script等功能(néng)直接獲取zabbix服務器的操作權限，進(jìn)而有可能(néng)危害到用戶單位整個網絡系統的運行安全。由于zabbix服務器在境内應用較爲廣泛，有可能(néng)誘發(fā)較高的大規模攻擊風險。

一、漏洞情況分析

zabbix是一個基于WEB界面(miàn)的提供分布式系統監視以及網絡監視功能(néng)的企業級開(kāi)源解決方案。 由于zabbix默認開(kāi)啓了guest權限，且默認密碼爲空，導緻zabbix的jsrpc中profileIdx2參數存在insert方式的SQL注入漏洞。攻擊者利用漏洞無需登錄即可獲取網站數據庫管理員權限，或通過(guò)script等功能(néng)直接獲取zabbix服務器的操作系權限。CNVD對(duì)該漏洞的綜合評級爲“高危”。

二、漏洞影響範圍

漏洞影響較低版本zabbix系統，如已經(jīng)确認的2.2.x, 3.0.0-3.0.3版本。根據CNVD初步普查情況，約有3.5萬台zabbix服務器暴露在互聯網上，其中排名TOP 5的國(guó)家和地區如下：中國(guó)（24.9%）、美國(guó)（18.8%）、俄羅斯（9.0%）、巴西（8.0%）、德國(guó)（5.4%），在中國(guó)境内排名TOP5的省份爲：北京（32.6%）、浙江（23.2%）、廣東（11.4%）、上海（7.8%）、江蘇（4.3%）。同時，根據CNVD抽樣(yàng)測試結果（樣(yàng)本數量>500），zabbix服務器受漏洞直接影響（驗證可攻擊成(chéng)功）的比例爲34.8%，影響比例較高。通過(guò)對(duì)比發(fā)現，在不受漏洞影響的服務器樣(yàng)本中，有一部分服務器Header字段中不存在zbx_sessionid信息，對(duì)于防範攻擊有一定的幫助。

三、漏洞修複建議

用戶可通過(guò)禁用guest賬戶緩解該漏洞造成(chéng)的威脅。目前，廠商已發(fā)布新版本修複此漏洞，CNVD建議用戶關注廠商主頁，升級到最新版本。