前缀、文档修改记录
20240521 初始化编辑此文章,完稿
章节1、需求描述
说真的zabbix作为基础设施级的资源监控系统,目前普及度已经非常的高了,它支持在服务端执行对客户端的检测操作,检查脚本在命令执行后,会将审计记录数据入库。由于audit.c代码中的“clientip”字段未经过有效的真实值过滤,就存在本应该是一个IP字段的数值,可被精心构造为一段SQL,填入到“clientip”中,形成SQL注入,并利用时间盲注攻击,进行数据库提权的操作。
官方的漏洞说明链接 https://www.zabbix.com/cn/security_advisories
https://www.zabbix.com/cn/security_advisories#ZBV-2024-05-17
https://support.zabbix.com/browse/ZBX-24505
https://github.com/W01fh4cker/CVE-2024-22120-RCE?tab=readme-ov-file 这里有将zabbix普通用户提权为admin用户的python脚本。
因为确实形成了SQL注入,且普通账号可以提权为admin账号,此次漏洞,标记为9.1的高危漏洞,影响的版本,我看官方贴的
6.0.0-6.0.27 6.4.0-6.4.12 7.0.0alpha1-7.0.0beta1
不包含旧的4.0/5.0版本,也是惊奇,可能是6.0版本之后代码功能带进来的漏洞吧,影响范围是有数据库的zabbix-server环境。
章节2、处理方式,版本升级
根据官方的建议,还是优先升级到zabbix最新的已修Bug漏洞的版本为妙
Fixed in 6.0.28rc1 c8ac414ff44 6.4.13rc1 78899da0e1b 7.0.0beta2 9013ff74985
打个快照,升级安装一下zabbix-server,完成版本升级就行。
参照官方:https://www.zabbix.com/documentation/6.0/en/manual/installation/upgrade/packages/debian_ubuntu
我在上次部署的是6.0 LTS的一个小版本, https://dasmz.com/?p=3654 ,因为这次的漏洞,都在同一个6系列的版本下,只要对zabbix-server组件进行小规模升级即可。
root@ZabbixServer:~# systemctl stop zabbix-server root@ZabbixServer:~# apt update root@ZabbixServer:~# apt install --only-upgrade zabbix-server-mysql zabbix-sql-scripts root@ZabbixServer:~# systemctl start zabbix-server
截至本文书写的2024-05-21,能更新到的zabbix-server版本是6.0.30,就OKAY了
附录1、视频操作演示
附录2、@Dasmz
博客内,所有教程为手打原创教程,如果技术教程对您有所帮助,欢迎打赏作者。技术层面,闻道有先后,如有疏漏、错误,欢迎指正。技术博客的内容,一般具有一定的环境依赖,具有一定的年代依赖,酌情参考其中的内容,请勿完全照搬照抄。
对于博客内已提及的专业知识,如果需要技术指导,欢迎联系我,仅需支付工时费
Twitter: Dasmz
Youtube: @DasmzStudio
Telegram: @Dasmz
