Zabbix CSRF到RCE漏洞(CVE-2021-27927)详解

当我们审查Zabbix的源代码时，我们发现了一个严重的安全漏洞，它位于Zabbix的用户界面(UI)的身份验证部分。这个漏洞是一种跨站请求伪造（CSRF）漏洞，它允许未经身份验证的攻击者接管Zabbix管理员的帐户。换句话说，攻击者可以通过诱使Zabbix管理员点击恶意链接，来完全控制Zabbix管理员的帐户。令人担忧的是，即使启用了默认的SameSite=Lax Cookie保护，这个漏洞在所有浏览器中都可以被利用。

该漏洞已经被确认，并且在Zabbix的版本4.0.28rc1、5.0.8rc1、5.2.4rc1和5.4.0alpha1中得到了修复。因此，我们强烈建议所有用户及时升级到这些版本以修复此漏洞。

这个漏洞的影响非常严重。虽然它需要用户的互动才能被利用，但一旦被成功利用，它将完全接管Zabbix管理员的帐户。这给攻击者提供了许多机会，包括获取有关网络上其他设备的信息以及在Zabbix服务器上执行任意命令。在某些配置中，攻击者甚至可以在受监视的主机上执行任意命令，这可能会导致严重的后果。

为了理解这个漏洞是如何工作的，让我们简要回顾一下CSRF攻击的工作原理。首先，受害者必须登录到易受攻击的网站（在这种情况下是Zabbix）。然后，攻击者通过社会工程学手段诱使受害者点击指向恶意网站的链接。当受害者访问恶意网站时，其中包含的恶意代码会发送一个API请求到目标网站（Zabbix）。由于请求是从受害者的浏览器发出的，因此它会携带受害者的会话cookie。因此，目标网站（Zabbix）无法区分恶意请求和合法请求，因此会执行请求中包含的操作，从而导致攻击成功。

在本例中，我们发现了一个特殊的情况，其中anti-CSRF令牌未被验证。具体来说，这涉及到对Zabbix的身份验证设置进行更改。虽然Zabbix在大多数操作中使用了anti-CSRF令牌，但在这种情况下，我们发现了一个例外。此外，我们还发现在Zabbix中，通过POST请求提交的任何参数都可以等效地通过GET请求中的URL查询参数提交。这意味着，即使缺少anti-CSRF令牌，攻击者仍然可以通过伪造的GET请求来利用漏洞。

攻击者可以利用这个漏洞执行远程命令，一旦获得管理员访问权限。在Zabbix中，远程命令执行是一项内置功能，允许用户在Zabbix服务器、代理或被监视主机上执行任意命令。因此，一旦攻击者获得管理员权限，他们就可以轻松地获取远程命令执行特权，并执行各种恶意操作。

为了演示这一点，我们假设攻击者已经设置了一个由他们控制的LDAP服务器，并托管了一个包含恶意HTML页面的网站。然后，他们诱使Zabbix管理员点击包含恶意请求的链接，以利用CSRF漏洞。一旦攻击成功，Zabbix管理员的身份验证设置将被更改，并且攻击者将获得对Zabbix的完全控制权限。

综上所述，这个漏洞是一个严重的安全隐患，可能会对使用Zabbix的组织造成严重的影响。因此，我们强烈建议所有用户立即升级到修复了此漏洞的最新版本，并采取其他必要的安全措施来保护其系统免受潜在的威胁。