近日,国家信息安全漏洞共享平台(CNVD)收录了Zabbix存在远程代码执行和数据库写入漏洞(CNVD-2017-05550,对应CVE-2017-2824)。攻击者成功利用漏洞,可在受影响的zabbix服务器上执行操作系统指令,取得网站服务器控制权限。由于zabbix广泛应用于企业级服务器集群,且利用代码已经公开,构成较为严重的攻击威胁。

一、漏洞情况分析

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案,可用于对服务器网络集群的集成管理。

漏洞的技术成因在于Zabbix 2.4.x版本trapper功能代码部分,该部分代码的主要功能是允许Proxy和Server进行网络通信(一般通过TCP 10051端口),并且Zabbix Server提供了针对Zabbix Proxy的API调用接口。攻击者可构造特定的恶意trapper数据包绕过其后台数据库(一般是MySQL)的逻辑检查,造成数据库写入。攻击者可通过中间人的方式修改Zabbix proxy和Server间的请求来触发漏洞,并执行系统命令注入,进而控制Zabbix服务器主机。

虽然要实施攻击存在一定的复杂度,但CNVD对漏洞的综合评级仍为“高危”。

二、漏洞影响范围

漏洞影响Zabbix 2.4.x版本。根据CNVD秘书处的历史普查结果,根据CNVD初步普查情况,约有3.5万台zabbix服务器暴露在互联网上,其中排名TOP 5的国家和地区如下:中国(24.9%)、美国(18.8%)、俄罗斯(9.0%)、巴西(8.0%)、德国(5.4%),在中国境内排名TOP5的省份为:北京(32.6%)、浙江(23.2%)、广东(11.4%)、上海(7.8%)、江苏(4.3%)。受制于部分前提条件限制,对该漏洞暂未能准确评估实际有效影响范围。

三、防护建议

目前,厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:

http://www.zabbix.com

附:参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05550

http://www.talosintelligence.com/reports/TALOS-2017-0325/

http://www.talosintelligence.com/reports/TALOS-2017-0326/