vlambda博客
学习文章列表

Zabbix SAML SSO认证绕过漏洞通告(CVE-2022-23131)POC已公布

  漏洞综述 


■ 漏洞背景

Zabbix 是一个企业级分布式开源监控解决方案,能够监控众多网络参数和服务器的健康度、完整性。其使用灵活的告警机制,能够对几乎任何事件配置邮件告警,使得用户可以快速响应服务器的各种问题。近日,新华三攻防实验室威胁预警团队监测到Zabbix官方发布了安全公告,修复了Zabbix中的一个SSO认证绕过漏洞(CVE-2022-23131),建议受影响用户尽快安装更新补丁,避免受到影响。


■ 漏洞原理

该漏洞是由于Zabbix对于客户端提交的Cookie会话存在不安全的存储方式,恶意攻击者通过发送恶意请求获取Cooike信息,向服务器发送特制的恶意数据,从而能够在启用SAML SSO认证模式的服务器上,绕过Zabbix的安全认证,以管理员权限登录服务器并执行任意代码。


■ 漏洞复现

安装受影响版本软件(5.4.8),发送恶意请求获取Cookie,利用Cookie信息制作恶意数据并发送至服务器,成功以管理员身份登录后台:

后台信息:


■ 影响范围

5.4.0 <= Zabbix <= 5.4.8

Zabbix = 6.0.0alpha1

漏洞等级:严重    CVSS:9.8



  处置方法 


■ 官方补丁

目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:https://support.zabbix.com/browse/ZBX-20384?jql=project%20%3D%20ZBX%20AND%20fixVersion%20%3D%205.4.9rc2


■ 新华三解决方案

1、新华三安全设备防护方案

新华三IPS规则库将在1.0.171版本支持对该漏洞的识别,H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。


2、态势感知产品解决方案

新华三态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。


3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。


 参考链接 

https://support.zabbix.com/browse/ZBX-20350