□ 개요

오픈 소스 IT 인프라 모니터링 도구인 Zabbix 서버에서 심각도 높은 보안 취약점이 발견되었다. 발견된 취약점(CVE-2024-22120)은 Zabbix의 SQL 인젝션 취약점으로, CVSS 점수 9.1로 평가되었다. 공격자는 취약한 시스템에서 민감한 정보를 추출할 수 있을 뿐 아니라, 권한을 상승하고 잠재적으로 원격 코드 실행까지 수행할 수 있다.

□ CVE-2024-22120 취약점

CVE-2024-22120 취약점은 Zabbix의 감사 로그 기능에서 발생한다. Zabbix 서버는 구성된 스크립트에 대한 명령을 실행할 때 감사 로그에 해당 작업을 기록한다. 이러한 과정은 Zabbix의 audit.c 파일의 zbx_auditlog_global_script 함수에 의해 이루어지는데, 해당 함수에는 시간 기반 블라인드 SQL 인젝션 취약점이 존재한다.

감사 로그에는 클라이언트 IP를 저장하는 clientip 필드가 존재하는데, 이 필드에 대한 입력값 검증이 제대로 이루어지지 않아 발생하는 취약점이다. 공격자는 clientip 필드에 악성 SQL 코드를 삽입하여 데이터베이스 쿼리를 조작할 수 있으며, 권한을 상승하고 원격코드 실행을 달성할 수 있다.

□ PoC

취약점은 HackerOne 버그 현상금 플랫폼을 통해 mf0cuz라고도 알려진 보안 연구원 Maxim Tyukov에 의해 발견 및 보고되었다. Tyukov는 기술적 세부 사항과 개념 증명(PoC)을 제공하였다.

※ 기술적 세부 사항 및 PoC : https://support.zabbix.com/browse/ZBX-24505

□ 영향받는 버전 및 완화 방안

Zabbix 팀은 취약점을 해결하기 위한 패치를 출시하였다. 취약점의 영향을 받는 시스템은 패치된 버전(버전 6.0.28rc1, 6.4.13rc1 및 7.0.0beta2)으로 업그레이드할 것을 권고한다.

□ 참조

https://securityonline.info/cve-2024-22120-cvss-9-1-zabbix-sqli-vulnerability-exposes-it-infrastructure-to-attack/

https://support.zabbix.com/si/jira.issueviews:issue-html/ZBX-24505/ZBX-24505.html

https://support.zabbix.com/browse/ZBX-24505

보안관제센터 MIR Team