Cảnh báo của CISA về các Flaws bị khai thác tích cực trong Nền tảng giám sát mạng Zabbix

Nền tảng giám sát mạng Zabbix

Cơ quan và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cảnh báo về việc khai thác tích cực hai lỗ hổng bảo mật ảnh hưởng đến nền tảng giám sát doanh nghiệp , thêm chúng vào Danh mục các lỗ hổng được khai thác đã biết.

Ngoài ra, CISA cũng khuyến nghị các cơ quan Chi nhánh Điều hành Dân sự Liên bang (FCEB) vá tất cả các hệ thống chống lại các lỗ hổng bảo mật trước ngày 8 tháng 3 năm 2022 để giảm nguy cơ bị tấn công mạng tiềm ẩn.

Được theo dõi là CVE-2022-23131 (điểm CVSS: 9,8) và CVE-2022-23134 (điểm CVSS: 5,3), những thiếu sót có thể dẫn đến sự xâm nhập của các mạng hoàn chỉnh, cho phép một tác nhân độc hại chưa được xác thực leo thang đặc quyền và giành quyền truy cập của quản trị viên Zabbix Frontend cũng như thực hiện các thay đổi cấu hình.

Thomas Chauchefoin từ SonarSource đã được ghi nhận là đã phát hiện và báo cáo hai lỗ hổng, ảnh hưởng đến các phiên bản Zabbix Web Frontend lên đến và bao gồm 5.4.8, 5.0.18 và 4.0.36. Các vấn đề kể từ đó đã được giải quyết trong các phiên bản 5.4.9, 5.0.9 và 4.0.37 xuất xưởng vào cuối tháng 12 năm 2021.

Cả hai lỗ hổng đều là kết quả của cái mà công ty gọi là “lưu trữ phiên không an toàn”, cho phép những kẻ tấn công bỏ qua xác thực và thực thi mã tùy ý. Tuy nhiên, điều đáng chỉ ra là các lỗ hổng chỉ ảnh hưởng đến các trường hợp mà xác thực đăng nhập một lần (SSO) Ngôn ngữ đánh dấu bảo mật (SAML) được bật.

Xem tiếp:   Microsoft Tạm thời vô hiệu hóa trình cài đặt ứng dụng MSIX để ngăn lạm dụng phần mềm độc hại

“Luôn cung cấp quyền truy cập vào các dịch vụ hợp lý với quyền truy cập nội bộ mở rộng (ví dụ: điều phối, giám sát) qua VPN hoặc một nhóm bị hạn chế, tăng cường quyền hệ thống tệp để ngăn chặn các thay đổi ngoài ý muốn, xóa các tập lệnh thiết lập, v.v.”, Chauchefoin nói.

.

Related Posts

Check Also

Microsoft Phát hiện ra các lỗi nghiêm trọng trong các ứng dụng được cài đặt sẵn trên hàng triệu thiết bị Android

Bốn lỗ hổng nghiêm trọng cao đã được tiết lộ trong một khuôn khổ được …