This post is also available in:
English (אנגלית)
חברת Zabbix, בעלת כלי פתוח פופולרי לניהול וניטור תשתיות IT, תיקנה חולשה קריטית של הזרקת SQL המהווה סיכון אבטחה רציני לאלפי שרתים. הפגם, בדירוג חומרה של 9.9 מתוך 10, מאפשר לתוקפים בעלי חשבונות משתמש שאינם מנהלי מערכת לקבל שליטה מלאה במערכות, דבר העלול לפגוע בנתונים רגישים ולשבש פעולות.
החולשה ממוקמת במחלקת CUser, ספציפית בפונקציה addRelatedObjects, המופעלת על ידי הפונקציה CUser.Get. פונקציה זו נגישה לכל משתמש עם גישה ל-API, מה שהופך את החולשה בה לקלה יחסית לניצול עבור לתוקפים ללא צורך בהרשאות ניהול. על ידי מניפולציה של קריאות API, תוקף יכול להזריק פקודות SQL זדוניות, אשר, אם יצליחו, יכולות להעניק גישה לא מורשית לשרת.
סריקה שנערכה על ידי חברת אבטחת הענן Qualys חשפה יותר מ-83,000 מערכות שעלולות להכיל את החולשה ברשת, מה שמדגיש את האופי הנרחב של הבעיה. כלי Zabbix משמש ארגונים ברחבי העולם כדי לפקח על רכיבי IT קריטיים כגון רשתות, שרתים, מחשבים וירטואליים ושירותי ענן. הוא אוסף, מאחסן ומנתח נתונים, ומציע תובנות בזמן אמת לגבי ביצועי התשתית. בהתחשב בתפקידו המרכזי בניהול ה-IT, לפריצת אבטחה ב-Zabbix עלולות להיות השלכות משמעותיות על הארגונים המושפעים.
על פי Cybernews, הפגם דווח על ידי חוקר האבטחה Márk Rákóczi באמצעות פלטפורמת ה-bug bounty שנקראת HackerOne.Zabbix הגיבה במהירות לגילוי החולשה על ידי שחרור גרסאות מעודכנות של התוכנה עם פאץ' לפגם. הגרסאות המתוקנות הן 6.0.32rc1, 6.4.17rc1, ו-7.0.1rc1. מומלץ מאוד לארגונים המשתמשים ב-Zabbix לעדכן לגרסאות אלה כדי להפחית את הסיכון.
גילוי החולשה מדגיש את החשיבות של שימוש בשיטות גישה מאובטחות ל-API ועדכון קבוע של תוכנות קוד פתוח. מכיוון שכלי ניהול תשתיות IT כמו Zabbix הם לעתים קרובות חלק בלתי נפרד מהתפקוד העסקי, הבטחת האבטחה שלהם היא חיונית לשמירה על הפעילות הארגונית.
