27 ноября ФСТЭК России внесла в Банк данных угроз безопасности информации уязвимость критической важности в продукте для мониторинга корпоративных сетей с открытым исходным кодом Zabbix. Эта уязвимость позволяет злоумышленникам выполнять произвольные SQL-запросы, что угрожает безопасности данных и систем.
Уязвимость CVE-2024-42327
Уязвимость, обозначенная как CVE-2024-42327, имеет высокий индекс CVSS — 9,9. Она находится в классе CUser в функции addRelatedObjects, которая вызывается из метода CUser.get и доступна всем пользователям с правом доступа к API. Пользовательская учетная запись без администраторских прав в интерфейсе Zabbix, обладающая ролью пользователя по умолчанию или любой другой ролью с доступом к API, может быть использована для эксплуатации данной уязвимости.
Уязвимость актуальна для версий Zabbix 6.0.0–6.0.31, 6.4.0–6.4.16 и 7.0.0, на сегодняшний день исправления для этой проблемы были включены в версии 6.0.32rc1, 6.4.17rc1 и 7.0.1rc1.
Безопасная разработка и тестирование UDV ITM
Система мониторинга инфраструктуры UDV ITM основана на Zabbix. Решение разрабатывается в соответствии с принципами безопасной разработки и регулярно проходит ряд испытаний:
- анализ состава модулей, конфигурации и интерфейсов;
- анализ безопасности решения на основе открытых источников, в том числе; поиск известных и потенциальных уязвимостей;
- экспертная оценка исходного кода;
- статический и динамический анализ исходного кода.
Уязвимость CVE-2024-42327 не затрагивает какие-либо версии UDV ITM, находящиеся в эксплуатации у заказчиков. Релиз новой версии UDV ITM 1.8 с сервером мониторинга на базе Zabbix 7.0.2 планируется в декабре 2024 г., все испытания уже завершились. Планируемое обновление сертификата ФСТЭК России в связи с выпуском новой версии ожидается также в I квартале 2025 г.
