Zabbix alerta para aplicação de atualização Crítica

O provedor de monitoramento de aplicativos e redes corporativas de código aberto Zabbix está alertando os clientes sobre uma nova vulnerabilidade crítica que pode levar ao comprometimento total do sistema.

Rastreado como CVE-2024-42327, o bug de injeção de SQL obteve uma pontuação quase perfeita de 9,9 quando avaliado usando o Common Vulnerability Scoring System (CVSSv3) e pode ser explorado por usuários com acesso à API.

A descrição da vulnerabilidade no projeto explicada: “Uma conta de usuário não administrador no front-end do Zabbix com a função de usuário padrão ou com qualquer outra função que dê acesso à API pode explorar essa vulnerabilidade.

“Existe um SQLi na classe CUser na função addRelatedObjects, esta função está sendo chamada a partir da função CUser.get que está disponível para todos os usuários que têm acesso à API.”

O Zabbix disse que três versões do produto são afetadas e devem ser atualizadas para a mais recente disponível:

• 6.0.0… 6.0.31
• 6.4.0… 6.4.16
• 7.0.0

A atualização para as versões 6.0.32rc1, 6.4.17rc1 e 7.0.1rc1, respectivamente, protegerá os usuários contra ataques de escalonamento de privilégios.

O projeto tem milhares de clientes em todo o mundo, sugerindo que a superfície de ataque pode não apenas ser muito grande, mas também afetar algumas grandes empresas em todos os continentes.

Altice, Bupa Chile, Dell, Agência Espacial Europeia, Seat, T-Systems e a mega empresa de telecomunicações africana Vodacom estão entre os vários clientes de alto perfil listados no site da Zabbix, que abrangem vários setores nos setores público e privado.

O FBI e a CISA começaram a aumentar suas mensagens Secure by Design no início deste ano, definindo o tom das estratégias e iniciativas de ambas as agências ao longo de 2024. Na mesma época, vulnerabilidades de injeção de SQL como CVE-2024-42327 foram adicionadas à lista dos EUA de defeitos de produtos “imperdoáveis” – vulnerabilidades que deveriam ter sido eliminadas pelos fornecedores de software há muito tempo.

As injeções de SQL existem há décadas e não são conhecidas por serem especialmente difíceis de explorar. Atualmente responsável por cerca de dez por cento das vulnerabilidades no catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA, a classe de defeito predominante é frequentemente associada ou é um precursor conhecido da atividade de ransomware.

A onda de ataques de roubo de dados a clientes do MOVEit MFT da Progress Software no ano passado (e este ano também), facilitada por uma vulnerabilidade de injeção de SQL, é um exemplo recente de quanto dano esses bugs antigos podem causar. O rastreador da Emsisoft coloca o número de organizações vítimas em 2.773, o que no total comprometeu os dados de quase 96 milhões de indivíduos.

De acordo com o alerta emitido pelo FBI e pela CISA no início deste ano, as duas agências pediram aos fornecedores de software que garantam que seus produtos estejam livres desses tipos de bugs antes de serem enviados.

“Vulnerabilidades como o SQLi foram consideradas por outros uma vulnerabilidade ‘imperdoável’ desde pelo menos 2007”, dizia o alerta. “Apesar dessa descoberta, as vulnerabilidades do SQL (como o CWE-89) ainda são uma classe predominante de vulnerabilidade. Por exemplo, o CWE-89 está no top 25 das listas para os pontos fracos de software mais perigosos e teimosos em 2023.“

Ambas as agências também pediram aos clientes desses fornecedores que responsabilizassem os desenvolvedores, garantindo que recebessem a confirmação de que uma revisão completa do código eliminou as falhas do SQLi desde o início. 

Fonte: The Register