వార్తలు

క్లిష్టమైన SQL ఇంజెక్షన్ బగ్ బహిర్గతం తర్వాత నవీకరణల కోసం Zabbix కాల్ చేస్తుంది

ఓపెన్ సోర్స్ ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ మరియు అప్లికేషన్ మానిటరింగ్ ప్రొవైడర్ Zabbix పూర్తి సిస్టమ్ రాజీకి దారితీసే క్లిష్టమైన కొత్త దుర్బలత్వం గురించి కస్టమర్‌లను హెచ్చరిస్తోంది.

CVE-2024-42327గా ట్రాక్ చేయబడిన, SQL ఇంజెక్షన్ బగ్ కామన్ వల్నరబిలిటీ స్కోరింగ్ సిస్టమ్ (CVSSv3)ని ఉపయోగించి మూల్యాంకనం చేసినప్పుడు దాదాపుగా 9.9 స్కోర్ చేసింది మరియు API యాక్సెస్‌తో వినియోగదారులచే ఉపయోగించబడవచ్చు.

ప్రాజెక్ట్ దుర్బలత్వ వివరణ వివరించారు: “ప్రామాణిక వినియోగదారు పాత్రతో Zabbix ఫ్రంటెండ్‌లో నాన్-అడ్మిన్ వినియోగదారు ఖాతా లేదా API యాక్సెస్‌ను అందించే ఏదైనా ఇతర పాత్ర ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు.

“addRelatedObjects ఫంక్షన్‌లో CUser క్లాస్‌లో SQLi ఉంది, ఈ ఫంక్షన్ CUser.get ఫంక్షన్ నుండి కాల్ చేయబడుతోంది, ఇది APIకి యాక్సెస్ ఉన్న ప్రతి వినియోగదారుకు అందుబాటులో ఉంటుంది.”

మూడు ఉత్పత్తి సంస్కరణలు ప్రభావితమయ్యాయని మరియు అందుబాటులో ఉన్న తాజా వెర్షన్‌కు నవీకరించబడాలని Zabbix చెప్పారు:

  • 6.0.0…6.0.31

  • 6.4.0…6.4.16

  • 7.0.0

వరుసగా 6.0.32rc1, 6.4.17rc1, మరియు 7.0.1rc1 వెర్షన్‌లకు అప్‌గ్రేడ్ చేయడం వలన వినియోగదారులను ప్రివిలేజ్ ఎస్కలేషన్ దాడుల నుండి రక్షిస్తుంది.

ఈ ప్రాజెక్ట్ ప్రపంచవ్యాప్తంగా వేలాది మంది కస్టమర్‌లను కలిగి ఉంది, దాడి ఉపరితలం చాలా పెద్దదిగా ఉండటమే కాకుండా అన్ని ఖండాలలోని కొన్ని పెద్ద కంపెనీలను ప్రభావితం చేస్తుందని సూచిస్తుంది.

Altice, Bupa Chile, Dell, the European Space Agency, Seat, T-Systems మరియు ఆఫ్రికన్ టెలికాం మెగా Vodacom అన్నీ Zabbix వెబ్‌సైట్‌లో జాబితా చేయబడిన అనేక ఉన్నత-ప్రొఫైల్ క్లయింట్‌లలో ఉన్నాయి, ఇవి ప్రభుత్వ మరియు ప్రైవేట్ రంగాలలో బహుళ రంగాలలో విస్తరించి ఉన్నాయి.

FBI మరియు CISA వారి సంఖ్యను పెంచడం ప్రారంభించాయి డిజైన్ ద్వారా బీమా ఈ సంవత్సరం ప్రారంభంలో సందేశాలు, 2024 అంతటా రెండు ఏజెన్సీల వ్యూహాలు మరియు చొరవలకు స్వరాన్ని సెట్ చేస్తాయి. దాదాపు అదే సమయంలో, CVE-2024-42327 వంటి SQL ఇంజెక్షన్ దుర్బలత్వాలు జోడించబడ్డాయి “క్షమించలేని” ఉత్పత్తి లోపాల US జాబితా – చాలా కాలం క్రితం సాఫ్ట్‌వేర్ విక్రేతలచే తొలగించబడవలసిన దుర్బలత్వాలు.

SQL ఇంజెక్షన్లు దశాబ్దాలుగా ఉన్నాయి మరియు దోపిడీ చేయడం చాలా కష్టంగా గుర్తించబడలేదు. ప్రస్తుతం CISA యొక్క తెలిసిన ఎక్స్‌ప్లోయిటెడ్ వల్నరబిలిటీస్ (KEV) కేటలాగ్‌లో దాదాపు పది శాతం దుర్బలత్వాలను కలిగి ఉంది, ప్రధానమైన లోపం తరగతి తరచుగా ransomware కార్యాచరణకు తెలిసిన పూర్వగామితో సంబంధం కలిగి ఉంటుంది.

ప్రోగ్రెస్ సాఫ్ట్‌వేర్ కస్టమర్‌లపై డేటా చౌర్యం యొక్క వేవ్ దాడులు MFTని తరలించండి గత సంవత్సరం (మరియు ఈ సంవత్సరం కూడా)SQL ఇంజెక్షన్ దుర్బలత్వం ద్వారా సులభతరం చేయబడింది, ఈ పాత బగ్‌లు ఎంత నష్టాన్ని కలిగిస్తాయి అనేదానికి ఇటీవలి ఉదాహరణ. ఎమ్సిసాఫ్ట్ ట్రాకర్ బాధిత సంస్థల సంఖ్య 2,773గా అంచనా వేసింది, ఇది మొత్తంగా దాదాపు 96 మిలియన్ల వ్యక్తుల డేటాను రాజీ చేసింది.

ఈ సంవత్సరం ప్రారంభంలో FBI మరియు CISA జారీ చేసిన హెచ్చరిక ప్రకారం, షిప్పింగ్‌కు ముందు తమ ఉత్పత్తులను ఈ రకమైన బగ్‌లు లేకుండా చూసుకోవాలని రెండు ఏజెన్సీలు సాఫ్ట్‌వేర్ విక్రేతలను కోరాయి.

“SQLi వంటి దుర్బలత్వాలను ఇతరులు కనీసం 2007 నుండి ‘క్షమించలేని’ దుర్బలత్వంగా పరిగణిస్తున్నారు,” అని హెచ్చరిక పేర్కొంది. “ఈ ఆవిష్కరణ ఉన్నప్పటికీ, SQL దుర్బలత్వాలు (CWE-89 వంటివి) ఇప్పటికీ దుర్బలత్వం యొక్క ప్రబలమైన తరగతి. ఉదాహరణకు, CWE-89 2023లో అత్యంత ప్రమాదకరమైన మరియు మొండి పట్టుదలగల సాఫ్ట్‌వేర్ బలహీనతల యొక్క టాప్ 25 జాబితాలలో ఉంది.

రెండు ఏజెన్సీలు కూడా ఈ విక్రేతల కస్టమర్‌లకు డెవలపర్‌లను జవాబుదారీగా ఉంచాలని పిలుపునిచ్చాయి, పూర్తి కోడ్ సమీక్ష ప్రారంభం నుండి SQLi యొక్క లోపాలను తొలగించిందని నిర్ధారిస్తుంది. ®

Source

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button