Сервис BI.ZONE WAF обеспечивает защиту пользователей системы мониторинга Zabbix от новой уязвимости, которую злоумышленники могут использовать для получения полного контроля над приложением.
Об уязвимости CVE-2024-42327 в решении для мониторинга IT-инфраструктуры с открытым исходным кодом компания Zabbix сообщила 27 ноября. Ошибка была обнаружена в классе CUser функции addRelatedObjects, которая вызывается из функции CUser.get. По шкале CVSS уязвимость получила оценку 9,9 из 10 баллов. Она затрагивает версии софта 6.0.0–6.0.31, 6.4.0–6.4.16 и 7.0.0.
Уязвимость позволяет любому пользователю с доступом к API осуществить SQL-инъекцию и повысить привилегии в скомпрометированной системе. Таким образом, злоумышленник может полностью перехватить контроль над приложением и получить доступ к конфиденциальной информации, в том числе представляющей коммерческую тайну.
В интернете уже появились примеры эксплуатации этой уязвимости (PoC). Специалисты BI.ZONE пока не фиксируют попытки ее использовать, однако наличие готовой инструкции означает, что число атак на уязвимое приложение может значительно возрасти.
Разработчики устранили уязвимость в обновлениях 6.0.32rc1, 6.4.17rc1 и 7.0.1rc1. Если компания не готова в кратчайшие сроки перейти на новые версии, BI.ZONE WAF поможет в защите от атак с эксплуатацией CVE-2024-42327. Существующие правила сервиса детектируют и блокируют попытки атак и не нарушают логику работы приложений.
BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности.
О компании
BI.ZONE, компания по управлению цифровыми рисками, помогает организациям безопасно развивать бизнес в киберпространстве. Разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 600 клиентов в 15 странах мира.