Zabbix : la CISA affirme que deux vulnérabilités sont exploitées par les pirates

La CISA met en garde contre deux vulnérabilités au sein de la solution de supervision Zabbix puisqu'elles sont utilisées par des pirates dans le cadre d'attaques informatiques. Faisons le point.

Pour rappel, la CISA est une agence fédérale américaine qui traite des questions de la cybersécurité et elle rattachée directement au département de la sécurité intérieure. Dans le même esprit que l'ANSSI en France, elle publie régulièrement des informations intéressantes et elle tient à jour une liste des vulnérabilités exploitées dans le cadre d'attaques. Cette fois-ci, la CISA alerte sur deux failles de sécurité au sein de Zabbix.

Associé à un score CVSS v3.1 de 9,8, cette CVE correspond à une vulnérabilité critique qui permet de contourner le processus d'authentification de Zabbix. Pour exploiter cette vulnérabilité, un attaquant non authentifié doit avoir accès à l'interface de connexion de Zabbix, et l'authentification SSO via SAML doit être activée, ce qui n'est pas le cas par défaut. En complément, l'attaquant doit connaître le nom d'un utilisateur existant au sein de l'instance Zabbix, ou utiliser le compte invité, mais ce dernier est désactivé par défaut.

Cette vulnérabilité est présente dans Zabbix de la version 5.4.0 à la version 5.4.8, ainsi que la version 6.0.0 Alpha-1. Si votre instance Zabbix est à jour, vous êtes déjà protégé. Sinon, vous pouvez vous assurer que l'authentification SAML est désactivée si vous ne l'utilisez pas, afin d'être protégé malgré tout.

Moins grave de par son score CVSS v3.1 de 5,3, cette CVE offre la possibilité à un attaquant non authentifié d'accéder au fichier "setup.php". Cette faille de sécurité permet à un attaquant d'accéder à certaines étapes du processus d'initialisation de Zabbix et de modifier la configuration. Là encore, ce sont les versions 5.4.0 à 5.4.8 de Zabbix qui sont touchées, ainsi que les versions Alpha de Zabbix 6.0.0.

Il n'est pas précisé si les deux vulnérabilités sont utilisées dans les mêmes attaques. Autrement dit, si la faille sur le fichier setup.php permettrait d'activer l'authentification SAML et ensuite d'exploiter la vulnérabilité concernant cette méthode d'authentification.

CISA - Bulletin officiel

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3782 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.