Am 27. November 2024 bestätigte Zabbix eine schwerwiegende SQL-Injection (SQLi)-Schwachstelle in der user.get API. Diese Schwachstelle betrifft die Zabbix-API und ermöglicht es Angreifern, SQL-Injektionen auszuführen, die zu Privilegieneskalationen führen können. Die Sicherheitslücke wurde unter der CVE-2024-42327-Kennung erfasst und erhielt eine hohe CVSS-Bewertung von 9.9 (kritisch).
Die Schwachstelle wurde in der CUser-Klasse der Zabbix-API entdeckt. Sie tritt auf, wenn die addRelatedObjects-Funktion aus der CUser.get-Methode heraus aufgerufen wird. Diese Methode ist allen Nutzern zugänglich, die über die Zabbix-API zugreifen können, was bedeutet, dass Angreifer mit lediglich Benutzerrechten (also ohne Administratorzugang) in der Lage sind, SQL-Injektionen auszuführen.
SQL-Injektionen erlauben es Angreifern, Datenbankabfragen zu manipulieren, um unbefugten Zugriff auf Daten zu erlangen, oder im schlimmsten Fall die Kontrolle über die Datenbank zu übernehmen. In diesem Fall können Angreifer die Berechtigungen eines normalen Nutzers erweitern und sich somit möglicherweise Administratorrechte verschaffen.
Die Schwachstelle betrifft insbesondere nicht-administrative Benutzerkonten auf der Zabbix-Frontend-Oberfläche, die mit der Standardrolle „User“ oder jeder anderen Rolle, die API-Zugriff gewährt, ausgestattet sind. Da diese Sicherheitslücke über die API ausgenutzt werden kann, ist der Angriff auch über das Netzwerk möglich, was das Risiko zusätzlich erhöht.
Die CVE-2024-42327-Schwachstelle kann zu Privilegieneskalation führen, wobei Angreifer ihre eigenen Rechte auf Administratorlevel erhöhen können, um Zugriff auf sensible Zabbix-Daten oder Konfigurationen zu erhalten.
Die Sicherheitslücke betrifft mehrere Versionen von Zabbix. Zu den betroffenen Versionen gehören:
- Zabbix 6.0.0 bis 6.0.31
- Zabbix 6.4.0 bis 6.4.16
- Zabbix 7.0.0
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: