آسیب‌پذیری بحرانی در مانیتورینگ زبیکس

زبیکس کاربران را به‌روزرسانی نرم‌افزار پس از کشف باگ SQL تزریق بحرانی تشویق می‌کند

ارائه‌دهنده نرم‌افزار متن‌باز مانیتورینگ شبکه و اپلیکیشن‌های سازمانی، زبیکس، به مشتریان خود درباره یک آسیب‌پذیری بحرانی جدید هشدار داده که می‌تواند منجر به به خطر افتادن کامل سیستم شود.

این آسیب‌پذیری که با شناسه CVE-2024-42327 ردیابی شده، بر اساس سیستم امتیازدهی CVSSv3 نمره تقریباً کامل 9.9 را دریافت کرده و توسط کاربرانی که به API دسترسی دارند قابل سوءاستفاده است.

توضیحات پروژه درباره این آسیب‌پذیری بیان می‌کند:

“یک حساب کاربری غیراِدمین در رابط کاربری زبیکس با نقش پیش‌فرض ‘کاربر’ یا هر نقش دیگری که دسترسی به API را فراهم کند، می‌تواند از این آسیب‌پذیری سوءاستفاده کند.

“این باگ SQL تزریق در کلاس CUser و در تابع addRelatedObjects وجود دارد. این تابع از CUser.get فراخوانی می‌شود که برای هر کاربری که به API دسترسی دارد در دسترس است.”

زبیکس اعلام کرد که سه نسخه از محصولات تحت تأثیر قرار گرفته و باید به آخرین نسخه‌های موجود ارتقا داده شوند:

• نسخه‌های 6.0.0 تا 6.0.31
• نسخه‌های 6.4.0 تا 6.4.16
• نسخه 7.0.0

کاربران می‌توانند با به‌روزرسانی به نسخه‌های 6.0.32rc1، 6.4.17rc1 و 7.0.1rc1 به ترتیب، از حملات ارتقای دسترسی جلوگیری کنند.

این پروژه هزاران مشتری در سراسر جهان دارد و این موضوع نشان می‌دهد که سطح حمله می‌تواند بسیار گسترده باشد و حتی شرکت‌های بزرگ را در تمامی قاره‌ها تحت تأثیر قرار دهد.
شرکت‌هایی مانند Altice، Bupa Chile، Dell، آژانس فضایی اروپا، Seat، T-Systems و Vodacom از جمله مشتریان برجسته زبیکس هستند که در صنایع مختلف دولتی و خصوصی فعالیت می‌کنند.

پیامدهای گسترده‌تر آسیب‌پذیری‌های SQL تزریق

اوایل سال جاری، FBI و CISA پیام‌رسانی‌های امنیتی “طراحی امن” را تشدید کردند و استراتژی‌ها و ابتکارات این دو سازمان را برای سال 2024 پایه‌ریزی کردند. در همان زمان، آسیب‌پذیری‌های SQL تزریق مانند CVE-2024-42327 به لیست “نقص‌های غیرقابل‌قبول” ایالات متحده اضافه شدند – نقص‌هایی که مدت‌ها پیش باید توسط توسعه‌دهندگان نرم‌افزار حذف می‌شدند.

آسیب‌پذیری‌های SQL تزریق که از دهه‌ها پیش وجود داشته‌اند، به دلیل سادگی در بهره‌برداری شناخته می‌شوند. این نقص‌ها اکنون تقریباً 10 درصد از آسیب‌پذیری‌های کاتالوگ آسیب‌پذیری‌های بهره‌برداری‌شده شناخته‌شده CISA را تشکیل می‌دهند و معمولاً به عنوان پیش‌درآمدی برای فعالیت‌های باج‌افزاری شناخته می‌شوند.

نمونه‌ای از خسارات ناشی از این نقص‌ها

حملات سرقت داده از مشتریان نرم‌افزار Progress Software’s MOVEit MFT در سال گذشته (و امسال نیز)، که با استفاده از یک آسیب‌پذیری SQL تزریق تسهیل شد، نمونه‌ای از آسیب‌های قابل‌توجه این نقص‌های قدیمی است. بر اساس آمار Emsisoft، تعداد سازمان‌های قربانی به 2,773 رسیده و داده‌های حدود 96 میلیون نفر را به خطر انداخته است.

FBI و CISA در هشدار خود از شرکت‌های نرم‌افزاری خواسته‌اند اطمینان حاصل کنند که محصولاتشان قبل از عرضه به بازار فاقد این نوع نقص‌ها هستند. در این هشدار آمده است:

“آسیب‌پذیری‌هایی مانند SQL تزریق از سال 2007 به‌عنوان یک نقص ‘غیرقابل‌قبول’ شناخته شده‌اند. با این حال، این آسیب‌پذیری‌ها (مانند CWE-89) همچنان جزء آسیب‌پذیری‌های رایج هستند. به عنوان مثال، CWE-89 همچنان در فهرست 25 آسیب‌پذیری خطرناک و مقاوم در سال 2023 قرار دارد.”

این دو سازمان همچنین از مشتریان شرکت‌های نرم‌افزاری خواسته‌اند توسعه‌دهندگان را ملزم به بررسی دقیق کدها کنند تا اطمینان حاصل شود که این نقص‌ها از ابتدا برطرف شده‌اند.