サマリー
「Zabbix」は、ネットワーク サービス、サーバやネットワーク機器など、ネットワーク内の各種システムの状態を監視するためのエンタープライズ監視ソリューションです。シスコでは最近、Zabbix Server のソフトウェア コンポーネントに複数の脆弱性を発見しました。これらの脆弱性が悪用されると、Zabbix Proxy データベースに直接書き込まれるか、または Zabbix Server 上でリモートコードが実行される危険性があります。そのためシスコは責任をもってこれらの脆弱性を Zabbix 側に伝えており、同社がパッチを提供する際にも協力しています。Zabbix ではこれらの脆弱性についてアドバイザリを公開しており、こちら
とこちらから参照できます。
脆弱性の詳細
Zabbix Server Active Proxy Trapper でリモート コードが実行される脆弱性(TALOS-2017-0325 / CVE-2017-2824)
デフォルトの Zabbix Server は、検出タスクと設定タスクを担う一連の API を Zabbix Proxy に公開します。各タスクは、Zabbix Proxy が提供する情報に基づき API を介して作成・実行されます。これらの API に関連する「発見」要求にコマンド インジェクションの脆弱性が存在すると、任意のコマンドが Zabbix データベースに挿入される危険性があります。挿入されたコマンドは、必要な <command> 要求を攻撃者が送信すると実行されるおそれがあります。この <command> 要求は、作成済みレコードに関連付けられた <hostid> を指定するものです。これにより、攻撃者は Zabbix Server 上でリモートコードを実行できるようになります。
脆弱性の詳細については、こちらからアドバイザリをご覧ください。
Zabbix Proxy Server SQL データベース書き込みにおける脆弱性(TALOS-2017-0326 / CVE-2017-2825)
Zabbix Proxy をアクティブ プロキシ モードで設定すると、起動時だけでなく一定間隔で Zabbix Server に「プロキシ設定」要求を送信します。Zabbix Server は、プロキシ設定を非暗号化状態で送信することで要求に応答します。Zabbix Server ではデータベース テーブル名のハードコード リストを使用してプロキシ設定を作成しますが、Zabbix Proxy はサーバから受信した応答に対してそのようなリストを利用したり、検証を実行したりすることはありません。この通信チャネルに対して中間者攻撃(MITM)攻撃を実行できる攻撃者は、これらの応答を悪意のある形式へ変更することで Zabbix Proxy 上のデータベースに書き込めるようになる可能性があります。
脆弱性の詳細については、こちらからアドバイザリをご覧ください。
該当バージョン
Zabbix が公開したアドバイザリ情報によると、該当するソフトウェア バージョンは以下の通りです。
Zabbix 2.4.7 ~ 2.4.8r1
まとめ
シスコでは Zabbix 側にこれらの脆弱性を責任をもって伝えてあります。それを受けて Zabbix では脆弱性に関するアドバイザリを公開しています。アドバイザリはこちらとこちらをご覧ください。今回の脆弱性が悪用されると該当システムでは任意のコードがリモートで実行される危険性があるため、セキュリティ アップデートをできるだけ早く適用するようお勧めします。環境を保護し続けるためには、最新のソフトウェアの脆弱性に対するパッチを常時適用することが不可欠です。
Talos では、ソフトウェアにおけるゼロデイ脆弱性の特定調査を継続的に続けていきます。また、ゼロデイ脆弱性を特定するプログラム的な手段の開発、および、それに責任ある方法で対処することが、インターネット全体のセキュリティを向上する上で非常に重要であると確信しています。
カバレッジ
今回の脆弱性を検出するために、40773~40774 および 41108~41109 の Snort ID がリリースされました。
今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、Defense Center または Snort.org を参照してください。
ゼロデイ攻撃または脆弱性に関するレポートおよび情報についての詳細は、http://talosintel.com/vulnerability-reports/ をご覧ください。
本稿は 2017年4月27日に Talos Group
Authors