Une vulnérabilité critique de type RCE (Remote Code Execution) et impactant le logiciel libre Zabbix vient de voir le jour. Elle est identifiée sous la référence CVE-2024-22116 et obtient un score CVSS v3.1 de 9,9.
Cette vulnérabilité touche les versions suivantes du produit :
- 4.0 à 6.4.15 ;
- 0.0 Alpha 1 à 7.0.0 RC2.
Le vecteur initial de la vulnérabilité Zabbix
La vulnérabilité permet à un attaquant disposant d’un compte administrateur limité de déclencher une exécution arbitraire de code sur le serveur Zabbix.
Les détails techniques de la vulnérabilité Zabbix
Un administrateur avec des droits restreints peut exploiter la fonctionnalité d’exécution de script dans la section Monitoring Hosts. Un filtrage insuffisant des paramètres de scripts permet à l’utilisateur d’exécuter du code arbitraire via le script Ping, compromettant ainsi le serveur sous-jacent.
La modélisation de l'attaque avec MITRE ATT&CK
MITRE ATT&CK
- T1068 (Exploitation for Privilege Escalation)
- T1203 (Exploitation for Client Execution)
CWE
- CWE-94 Improper Control of Generation of Code ('Code Injection')
Les moyens de protections avec Stormshield Network Security face à la vulnérabilité Zabbix
Protection face à la CVE-2024-22116
Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2024-22116 via la signature :
- http:client:data.180 : Exploitation d'une exécution de commande à distance dans Zabbix (CVE-2024-22116)
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Recommandations face à la vulnérabilité Zabbix
Il est ainsi recommandé de mettre à jour l’applicatif Zabbix vers une des versions suivantes :
- 6.4.16 RC1 ou supérieur ;
- 7.0.0 RC3 ou supérieur.
