本帖最后由monicazhang于2017-9-309:24编辑
事件背景zabbix是一个基于WEB界面、提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix由zabbixserver与可选组件zabbixagent两部分构成。zabbixserver可以通过SNMP、zabbixagent、ping、端口监视等方法提供对远程服务器/网络状态的监视、数据收集等功能,保证服务器系统的安全运营;并提供灵活的通知机制,让系统管理员快速定位/解决存在的各种问题。
[p=27,null,left]zabbix可以运行在Linux,Solaris,HP-UX,AIX,FreeBSD,OpenBSD,OSX等多种平台上。[p=27,null,left]2016年8月18日,国家信息安全漏洞共享平台(CNVD)通报,zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞,漏洞编号CNVD-2016-06408。攻击者无需授权即可登录zabbix管理系统,也可通过script等功能直接获取zabbix服务器的操作权限。[p=27,null,left]天融信安全云服务中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行持续追踪。数据分析天融信安全云服务中心在关注到相关事件信息后,及时对全球范围内运行的zabbix服务器及代理设备进行了相应的数据统计与分析。天融信安全云服务中心抽样提取全球zabbix服务器及代理设备共6700余台,对探测出的数据进行了数据统计。
区域分布通过数据统计可以看出,全球zabbix服务器及代理设备使用主要分布在欧美经济较发达、信息化水平发展较快的国家和地区。在全球范围内排名前五的国家及地区分别是:美国、中国、俄罗斯、德国、巴西。
[p=27,null,center][p=27,null,center]图一、全球分布情况[p=27,null,center][p=27,null,center]图二、全球排名前10的国家及地区[p=27,null,left]在中国地区,zabbix服务器及代理设备主要集中在东南沿海等经济较发达的地区,排名前五的地区分别为:北京市、浙江省、广东省、上海市、香港特别行政区。[p=27,null,center][p=27,null,center]图三、全国分布排名前10的地区运营商分布通过数据统计可以看出,在我国境内zabbix服务器及代理设备主要集中在阿里云、电信、联通等运营商,与我国互联网基础设施分配比例一致。
[p=27,null,center][p=27,null,center]图四、国内运营商排名(前5)[p=27,null,center][p=27,null,center]图五、国内运营商分布图漏洞分析及危害由于zabbix默认开启了guest权限,且默认密码为空,导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限,或通过script等功能直接获取zabbix服务器的操作系权限。
[p=27,null,left]zabbix服务器应用较为广泛,漏洞有可能引发较高规模的攻击风险。CNVD对该漏洞的综合评级为“高危”。防范建议目前厂商已经发布升级补丁,修复此安全问题。
[p=27,null,left]参考链接:
download.php[p=27,null,left]原创:天融信科技
|