CVE-2022-23134

Zabbix Frontend

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-22

Официальное описание

Malicious actors can pass step checks and potentially change the configuration of Zabbix Frontend.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник, имеющий доступ к интерфейсу Zabbix (например, украденные учетные данные), может обойти проверку CSRF-токена (шаг 2 в многошаговых формах). Это позволяет выполнять несанкционированные POST-запросы и изменять конфигурацию Zabbix Frontend от имени аутентифицированного пользователя (например, повышать привилегии других учетных записей).

Как исправить

Уязвимость устранена в патчах для устаревших версий и в актуальных релизах. Обновите Zabbix Frontend до одной из исправленных версий:

  • Zabbix 5.0: версия 5.0.18 или выше.
  • Zabbix 5.4: версия 5.4.8 или выше.
  • Zabbix 6.0: версия 6.0.0rc1 или любой более поздний релиз 6.0.x.

Для обновления на Linux (пример для Ubuntu/Debian): 1. Остановите веб-сервер (nginx/apache2) и службу zabbix-server. bash sudo systemctl stop nginx zabbix-server 2. Обновите пакеты Zabbix Frontend и Server до актуальных версий из официальных репозиториев. bash sudo apt update sudo apt install --only-upgrade zabbix-frontend-php zabbix-server-mysql 3. Запустите службы обратно. bash sudo systemctl start zabbix-server nginx

Для Windows (Zabbix Agent 2): Уязвимость не затрагивает агенты. Обновление требуется только для сервера и веб-интерфейса.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте доступ к веб-интерфейсу Zabbix:
    • Настройте брандмауэр (например, iptables или ufw), чтобы разрешить подключение к порту веб-сервера (обычно 80/443) только с доверенных IP-адресов (административных узлов, VPN). ```bash

    Пример iptables для разрешения только с сети 192.168.1.0/24

    sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 80 -j DROP ```

  2. Настройте WAF (Web Application Firewall):
    • Включите и настройте правила для защиты от CSRF-атак (если поддерживается) в вашем WAF (например, ModSecurity для Apache/Nginx).
    • Добавьте правило для блокировки запросов, где заголовок Referer не соответствует домену вашего Zabbix-сервера.
  3. Усильте контроль за учетными записями:
    • Проверьте журналы аутентификации Zabbix и веб-сервера на предмет подозрительной активности.
    • Убедитесь, что для всех пользователей используются сложные пароли, а учетные записи с правами администратора минимальны и защищены 2FA, если возможно.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей