Las cookies de sesión no eran validadas a pesar de estar cifradas, permitiendo a un atacante modificar las cookies en el cliente durante el proceso de autenticación para obtener privilegios.
El equipo de seguridad de SonarSource encontró el pasado mes de noviembre dos vulnerabilidades en el popular software de monitorización de redes Zabbix, utilizado por multitud de empresas para supervisar su red. Una de estas vulnerabilidades ha sido catalogada como crítica, al permitir autenticarse sin contar con credenciales. Destaca lo fácil de su explotación, permitiendo su automatización.
La primera de estas vulnerabilidades, identificada como CVE-2022-23131 y catalogada como crítica, aprovecha la falta de validación de las cookies de sesión para obtener acceso durante el proceso de autenticación. Para la explotación se requiere tener activado un método de inicio de sesión único (del inglés ‘Single Sing-On’) y que éste utilice SAML (del inglés ‘Security Assertion Markup Language’). Aunque este modo no se encuentre activado por defecto, suele ser habitual su uso en muchos entornos empresariales, permitiendo explotar esta vulnerabilidad.
La vulnerabilidad aprovecha que tras el proceso de autenticación utilizando SAML una entrada de sesión llamada ‘saml_data’ es creada definiendo el usuario con el que autenticarse, siendo esta ‘saml_data[<username_attribute>]’, reemplazando ‘<user_attribute>’ por el nombre del usuario. Aunque el servidor dispone de un método para verificar la cookie llamado ‘CEncryptedCookieSession::checkSign()’ éste nunca es llamado, dejando al cliente el control sobre la sesión. Al existir un usuario por defecto llamado ‘Admin’ en Zabbix con privilegios de superusuario puede utilizarse para tomar el control del servidor.
La segunda vulnerabilidad, con identificador CVE-2022-23134 y con un nivel de riesgo medio, permite reconfigurar una instancia existente de Zabbix mediante su asistente (‘setup.php’) aunque el servidor ya haya sido configurado en el pasado. Para ello aprovecha el mismo tipo de fallo en la validación de la sesión para volver a ejecutar el asistente.
Ambas vulnerabilidades se encuentran ya parcheadas en las versiones Zabbix 5.4.9, 5.0.9 y 4.0.37 del 23 de diciembre del año pasado, además de la versión 6.0.0beta2 del pasado 11 de enero de la rama en desarrollo. El equipo de Zabbix hizo pública la vulnerabilidad el día 29 de diciembre a través de su centro de soporte.
Es especialmente importante actualizar lo antes posible debido a la forma de funcionar de Zabbix, ya que el servidor ejecuta los comandos de monitorización directamente contra las máquinas de su red, permitiendo a un atacante no sólo secuestrar el servidor de monitorización, sino también las máquinas monitorizadas si estas tienen habilitada la configuración ‘AllowKey=system.run[*]’ para ejecutar cualquier comando desde el servidor. Esta configuración se encuentra desactivada por defecto, aunque suele ser habitual tenerla activada por motivos de depuración.
Para recibir notificaciones sobre vulnerabilidades críticas como esta el servicio SANA permite recibir alertas de seguridad de esta y otras vulnerabilidades, con el fin de poder aplicar parches de seguridad y mitigar los fallos tras su anuncio.
Más información:
Zabbix – Un caso de estudo de almacenamiento de sesión inseguro:
https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage
Deja una respuesta