安全公告編號:CNTA-2016-0036

近日，國家信息安全漏洞共享平臺（CNVD）收錄了zabbix存在的SQL注入漏洞（CNVD-2016-06408）。攻擊者利用漏洞無需授權登錄即可控制zabbix管理系統，或通過script等功能直接獲取zabbix服務器的操作權限，進而有可能危害到用戶單位整個網絡系統的運行安全。由于zabbix服務器在境內應用較為廣泛，有可能誘發較高的大規模攻擊風險。

一、漏洞情況分析

zabbix是一個基于WEB界面的提供分布式系統監視以及網絡監視功能的企業級開源解決方案。?由于zabbix默認開啟了guest權限，且默認密碼為空，導致zabbix的jsrpc中profileIdx2參數存在insert方式的SQL注入漏洞。攻擊者利用漏洞無需登錄即可獲取網站數據庫管理員權限，或通過script等功能直接獲取zabbix服務器的操作系權限。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響較低版本zabbix系統，如已經確認的2.2.x, 3.0.0-3.0.3版本。根據CNVD初步普查情況，約有3.5萬臺zabbix服務器暴露在互聯網上，其中排名TOP 5的國家和地區如下：中國（24.9%）、美國（18.8%）、俄羅斯（9.0%）、巴西（8.0%）、德國（5.4%），在中國境內排名TOP5的省份為：北京（32.6%）、浙江（23.2%）、廣東（11.4%）、上海（7.8%）、江蘇（4.3%）。同時，根據CNVD抽樣測試結果（樣本數量>500），zabbix服務器受漏洞直接影響（驗證可攻擊成功）的比例為34.8%，影響比例較高。通過對比發現，在不受漏洞影響的服務器樣本中，有一部分服務器Header字段中不存在zbx_sessionid信息，對于防范攻擊有一定的幫助。

三、漏洞修復建議

用戶可通過禁用guest賬戶緩解該漏洞造成的威脅。目前，廠商已發布新版本修復此漏洞，CNVD建議用戶關注廠商主頁，升級到最新版本。

附：參考鏈接：

https://support.zabbix.com/browse/ZBX-11023

http://www.zabbix.com/download.php（官方下載頁面）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-06408

（注：CNVD成員單位綠盟科技公司、杭州安恒公司向秘書處提供了漏洞原理分析情況）