monicazhang 发表于 2017-9-3 09:03:29

zabbix存在SQL注入漏洞数据分析报告

本帖最后由 monicazhang 于 2017-9-3 09:24 编辑

事件背景zabbix是一个基于WEB界面、提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix由zabbix server与可选组件zabbix agent两部分构成。zabbix server可以通过SNMP、zabbix agent、ping、端口监视等方法提供对远程服务器/网络状态的监视、数据收集等功能,保证服务器系统的安全运营;并提供灵活的通知机制,让系统管理员快速定位/解决存在的各种问题。
zabbix可以运行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等多种平台上。2016年8月18日,国家信息安全漏洞共享平台(CNVD)通报,zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞,漏洞编号CNVD-2016-06408。攻击者无需授权即可登录zabbix管理系统,也可通过script等功能直接获取zabbix服务器的操作权限。天融信安全云服务中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行持续追踪。数据分析天融信安全云服务中心在关注到相关事件信息后,及时对全球范围内运行的zabbix服务器及代理设备进行了相应的数据统计与分析。天融信安全云服务中心抽样提取全球zabbix服务器及代理设备共6700余台,对探测出的数据进行了数据统计。
区域分布通过数据统计可以看出,全球zabbix服务器及代理设备使用主要分布在欧美经济较发达、信息化水平发展较快的国家和地区。在全球范围内排名前五的国家及地区分别是:美国、中国、俄罗斯、德国、巴西。
图一、全球分布情况图二、全球排名前10的国家及地区在中国地区,zabbix服务器及代理设备主要集中在东南沿海等经济较发达的地区,排名前五的地区分别为:北京市、浙江省、广东省、上海市、香港特别行政区。图三、全国分布排名前10的地区运营商分布通过数据统计可以看出,在我国境内zabbix服务器及代理设备主要集中在阿里云、电信、联通等运营商,与我国互联网基础设施分配比例一致。
图四、国内运营商排名(前5)图五、国内运营商分布图漏洞分析及危害由于zabbix默认开启了guest权限,且默认密码为空,导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限,或通过script等功能直接获取zabbix服务器的操作系权限。
zabbix服务器应用较为广泛,漏洞有可能引发较高规模的攻击风险。CNVD对该漏洞的综合评级为“高危”。防范建议目前厂商已经发布升级补丁,修复此安全问题。
参考链接:
download.php原创:天融信科技

页: [1]
查看完整版本: zabbix存在SQL注入漏洞数据分析报告