漏洞名称:Zabbix登录绕过& 控制错误漏洞
组件名称: Zabbix
影响范围:
5.4.0 - 5.4.8
6.0.0 - 6.0.0beta1
漏洞类型:登录绕过&控制错误漏洞
漏洞编号:CNNVD-202201-1030、CNNVD-202201-1034
利用条件:无
综合评价:
CNNVD-202201-1030:
<利用难度>:低
<威胁等级>:需配合条件,高危,配合后台提权能获取服务器权限
CNNVD-202201-1034:
<利用难度>:中
<威胁等级>:需配合条件,中危,配合后台提权能获取服务器权限
#1 漏洞描述
CNNVD-202201-1030漏洞分析
描述:
漏洞(CNNVD-202201-1030)源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。
分析:
漏洞文件index_sso.php可以看见没有对session中saml_data值没有签名就可以直接认证成功。
可以看见新修复的版本已经对其进行了签名
CNNVD-202201-1030漏洞复现
首先配置zabbix SSO SAML方式进行认证
退出登录获取zbx_session
Base64 解码后
Base64编码后提交
点击以SAML方式登录
成功进入后台。
CNNVD-202201-1034漏洞分析
描述:
漏洞(CNNVD-202201-1034)源于在初始设置过程之后,setup.php 文件的某些步骤不仅可以由超级管理员访问,也可以由未经身份验证的用户访问。
分析:
setup.php 90行可以看见Guest是可以直接进入到step 6
我们直接进入到CSetupWizard.php文件看stage6的function
发现getConfig直接从session里面拿的
最终会在CConfigFile.php -> CConfigFile::save()里面生成配置文件
/etc/zabbix/web/zabbix.conf.php
CNNVD-202201-1034漏洞复现
无需登录
直接把setp写死成6,保存zbx_session发送
如果配置文件不存在,则会创建。
#2 解决方案
#3 参考资料
原文始发于微信公众号(锦行信息安全):【漏洞预警】Zabbix登录绕过& 控制错误漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论