28.01.202528.01.2025 Юлия МальцеваЮлия Мальцева 0 Comment

Zabbix Система для мониторинга сетей и приложений.

В начале декабря ФСТЭК предупредила об обнаружении в средстве промышленного мониторинга Zabbix уязвимости, которая позволяет выполнить атаку типа SQL-инъекция. Уязвимость BDU:2024-10543 имеет уровень опасности 9.9 из 10 по CVSSv3. Ошибка исправлена производителем, поэтому основной рекомендаций является обновление Zabbix до одной из последних версий – 7.0.1rc1, 6.0.32rc1 или 6.4.17rc1.

Уязвимость найдена в функции addRelatedObjects, которая является частью средства мониторинга с открытыми кодами Zabbix. Она позволяет злоумышленнику, обладая минимальными полномочиями, встроить свой SQL-запрос к базе данных, что может привести к поднятию полномочий злоумышленника в СУБД. Уязвимость появилась в версии 6.0, поэтому более ранние версии не затронуты. Признаков эксплуатации этой уязвимости пока не выявлено, однако методов эффективной эксплуатации SQL-инъекций разработано достаточно много.

Zabbix крайне популярен во многих российских компаниях, от самых больших до самых маленьких. Он является одним из ведущих инструментов мониторинга.

Его популярность обусловлена бесплатной моделью распространения и широкими функциональными возможностями. Многие ИТ-компании и организации из различных сфер активно используют Zabbix для контроля и управления своими системами. Согласно последним данным Censys, в российском сегменте интернета было обнаружено более 1700 открытых серверов Zabbix, что свидетельствует о широком распространении этой системы мониторинга в стране.

Уровень критичности обнародованной уязвимости очень близок к максимальному, но массовая эксплуатация затруднена тем, что, во-первых, злоумышленнику нужна учётная запись в Zabbix хотя бы с минимальными правами, а, во-вторых, нужен сетевой доступ к серверу Zabbix, который в мало-мальски озаботившихся ИБ компаниях невозможен напрямую из интернета.

Именно сокрытие интерфейса внутри периметра корпоративной сети и является основным методом защиты от подобных атак. Кроме того, в случае невозможности обновления ПО Zabbix ФСТЭК рекомендует следующие компенсирующие меры:

  • Ограничить доступ пользователей к прикладному программному интерфейсу (API) уязвимого ПО;
  • Использовать средства межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому ПО;
  • Отключить или полностью удалить неиспользуемые учётные записи пользователей уязвимого ПО;
  • Минимизировать привилегии пользователей.

Dell EMC VxFlex.

ФСТЭК разослала предупреждение об обнаружении в середине декабря критической уязвимости BDU:2024-10933, которая присутствует в аппаратных и программных решениях для хранения данных и обработки информации Dell EMC PowerFlex (ранее известные как VxFlex OS и ScaleIO). Описанная ошибка позволяет нарушителю с минимальными полномочиями выполнить произвольный код в атакованной системе. Она имеет оценку 10 из 10 по классификации CVSS и уже исправлена производителем.

Уязвимость была обнаружена в следующих продуктах: гиперконвергентные системы хранения Dell EMC PowerFlex (версии appliance – с 46.381.00 по 46.376.00, rack – с 3.8.1.0 по 3.7.6.0, custom node – до 4.6.1.0), инструменты мониторинга и управления системами хранения данных Dell InsightIQ (до версии 5.1.1) и интегрированная платформа для работы с данными Dell Data Lakehouse (до версии 1.2.0.0). Ошибка связана с неверным определением ссылки перед доступом к файлу, что позволяет злоумышленнику обойти процедуру аутентификации и исполнить загруженный в систему код.

На отечественном рынке такие решения достаточно заметны, особенно среди крупного бизнеса. Многие организации, ориентированные на масштабируемые и надежные системы хранения и обработки информации, в том числе финансовые, телекоммуникационные и промышленные предприятия, уже давно используют Dell PowerFlex, InsightIQ, Data Lakehouse и другие аналогичные продукты. До введения ограничительных мер зарубежные решения были распространены. Сейчас, конечно, наблюдается тенденция к переходу на отечественное ПО и оборудование, но часть компаний продолжает использовать импортные системы, поскольку они уже интегрированы в существующую инфраструктуру и бизнес-процессы.

По информации ФСТЭК пока в публичном поле эксплойта для данной уязвимости обнаружено не было. Тем не менее проблемы с установкой обновлений у российских пользователей вполне могут возникнуть – Dell закрыл свои ресурсы на доступ с территории России, поэтому для получения обновлений нужно пользоваться каналами параллельного импорта. Тем же, кто не может этого сделать, ФСТЭК рекомендует предпринять следующие компенсирующие действия:

  • использовать «белый» список IP-адресов для ограничения возможности подключения к уязвимым продуктам;
  • ограничить доступа к уязвимым продуктам из Интернет;
  • использовать средства межсетевого экранирования для ограничения возможности удалённого доступа к уязвимым продуктам;
  • применять для организации удаленного доступа защищенные каналы связи.