క్లిష్టమైన SQL ఇంజెక్షన్ బగ్ బహిర్గతం తర్వాత నవీకరణల కోసం Zabbix కాల్ చేస్తుంది

ఓపెన్ సోర్స్ ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ మరియు అప్లికేషన్ మానిటరింగ్ ప్రొవైడర్ Zabbix పూర్తి సిస్టమ్ రాజీకి దారితీసే క్లిష్టమైన కొత్త దుర్బలత్వం గురించి కస్టమర్‌లను హెచ్చరిస్తోంది.

CVE-2024-42327గా ట్రాక్ చేయబడిన, SQL ఇంజెక్షన్ బగ్ కామన్ వల్నరబిలిటీ స్కోరింగ్ సిస్టమ్ (CVSSv3)ని ఉపయోగించి మూల్యాంకనం చేసినప్పుడు దాదాపుగా 9.9 స్కోర్ చేసింది మరియు API యాక్సెస్‌తో వినియోగదారులచే ఉపయోగించబడవచ్చు.

ప్రాజెక్ట్ దుర్బలత్వ వివరణ వివరించారు: “ప్రామాణిక వినియోగదారు పాత్రతో Zabbix ఫ్రంటెండ్‌లో నాన్-అడ్మిన్ వినియోగదారు ఖాతా లేదా API యాక్సెస్‌ను అందించే ఏదైనా ఇతర పాత్ర ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు.

“addRelatedObjects ఫంక్షన్‌లో CUser క్లాస్‌లో SQLi ఉంది, ఈ ఫంక్షన్ CUser.get ఫంక్షన్ నుండి కాల్ చేయబడుతోంది, ఇది APIకి యాక్సెస్ ఉన్న ప్రతి వినియోగదారుకు అందుబాటులో ఉంటుంది.”

మూడు ఉత్పత్తి సంస్కరణలు ప్రభావితమయ్యాయని మరియు అందుబాటులో ఉన్న తాజా వెర్షన్‌కు నవీకరించబడాలని Zabbix చెప్పారు:

• 6.0.0…6.0.31

• 6.4.0…6.4.16

• 7.0.0

వరుసగా 6.0.32rc1, 6.4.17rc1, మరియు 7.0.1rc1 వెర్షన్‌లకు అప్‌గ్రేడ్ చేయడం వలన వినియోగదారులను ప్రివిలేజ్ ఎస్కలేషన్ దాడుల నుండి రక్షిస్తుంది.

ఈ ప్రాజెక్ట్ ప్రపంచవ్యాప్తంగా వేలాది మంది కస్టమర్‌లను కలిగి ఉంది, దాడి ఉపరితలం చాలా పెద్దదిగా ఉండటమే కాకుండా అన్ని ఖండాలలోని కొన్ని పెద్ద కంపెనీలను ప్రభావితం చేస్తుందని సూచిస్తుంది.

Altice, Bupa Chile, Dell, the European Space Agency, Seat, T-Systems మరియు ఆఫ్రికన్ టెలికాం మెగా Vodacom అన్నీ Zabbix వెబ్‌సైట్‌లో జాబితా చేయబడిన అనేక ఉన్నత-ప్రొఫైల్ క్లయింట్‌లలో ఉన్నాయి, ఇవి ప్రభుత్వ మరియు ప్రైవేట్ రంగాలలో బహుళ రంగాలలో విస్తరించి ఉన్నాయి.

FBI మరియు CISA వారి సంఖ్యను పెంచడం ప్రారంభించాయి డిజైన్ ద్వారా బీమా ఈ సంవత్సరం ప్రారంభంలో సందేశాలు, 2024 అంతటా రెండు ఏజెన్సీల వ్యూహాలు మరియు చొరవలకు స్వరాన్ని సెట్ చేస్తాయి. దాదాపు అదే సమయంలో, CVE-2024-42327 వంటి SQL ఇంజెక్షన్ దుర్బలత్వాలు జోడించబడ్డాయి “క్షమించలేని” ఉత్పత్తి లోపాల US జాబితా – చాలా కాలం క్రితం సాఫ్ట్‌వేర్ విక్రేతలచే తొలగించబడవలసిన దుర్బలత్వాలు.

SQL ఇంజెక్షన్లు దశాబ్దాలుగా ఉన్నాయి మరియు దోపిడీ చేయడం చాలా కష్టంగా గుర్తించబడలేదు. ప్రస్తుతం CISA యొక్క తెలిసిన ఎక్స్‌ప్లోయిటెడ్ వల్నరబిలిటీస్ (KEV) కేటలాగ్‌లో దాదాపు పది శాతం దుర్బలత్వాలను కలిగి ఉంది, ప్రధానమైన లోపం తరగతి తరచుగా ransomware కార్యాచరణకు తెలిసిన పూర్వగామితో సంబంధం కలిగి ఉంటుంది.

ప్రోగ్రెస్ సాఫ్ట్‌వేర్ కస్టమర్‌లపై డేటా చౌర్యం యొక్క వేవ్ దాడులు MFTని తరలించండి గత సంవత్సరం (మరియు ఈ సంవత్సరం కూడా)SQL ఇంజెక్షన్ దుర్బలత్వం ద్వారా సులభతరం చేయబడింది, ఈ పాత బగ్‌లు ఎంత నష్టాన్ని కలిగిస్తాయి అనేదానికి ఇటీవలి ఉదాహరణ. ఎమ్సిసాఫ్ట్ ట్రాకర్ బాధిత సంస్థల సంఖ్య 2,773గా అంచనా వేసింది, ఇది మొత్తంగా దాదాపు 96 మిలియన్ల వ్యక్తుల డేటాను రాజీ చేసింది.

ఈ సంవత్సరం ప్రారంభంలో FBI మరియు CISA జారీ చేసిన హెచ్చరిక ప్రకారం, షిప్పింగ్‌కు ముందు తమ ఉత్పత్తులను ఈ రకమైన బగ్‌లు లేకుండా చూసుకోవాలని రెండు ఏజెన్సీలు సాఫ్ట్‌వేర్ విక్రేతలను కోరాయి.

“SQLi వంటి దుర్బలత్వాలను ఇతరులు కనీసం 2007 నుండి ‘క్షమించలేని’ దుర్బలత్వంగా పరిగణిస్తున్నారు,” అని హెచ్చరిక పేర్కొంది. “ఈ ఆవిష్కరణ ఉన్నప్పటికీ, SQL దుర్బలత్వాలు (CWE-89 వంటివి) ఇప్పటికీ దుర్బలత్వం యొక్క ప్రబలమైన తరగతి. ఉదాహరణకు, CWE-89 2023లో అత్యంత ప్రమాదకరమైన మరియు మొండి పట్టుదలగల సాఫ్ట్‌వేర్ బలహీనతల యొక్క టాప్ 25 జాబితాలలో ఉంది.

రెండు ఏజెన్సీలు కూడా ఈ విక్రేతల కస్టమర్‌లకు డెవలపర్‌లను జవాబుదారీగా ఉంచాలని పిలుపునిచ్చాయి, పూర్తి కోడ్ సమీక్ష ప్రారంభం నుండి SQLi యొక్క లోపాలను తొలగించిందని నిర్ధారిస్తుంది. ®