Zabbix Система для мониторинга сетей и приложений

2024: В Zabbix найдена критическая уязвимость. Рекомендуется обновиться

В начале декабря ФСТЭК предупредила об обнаружении в средстве промышленного мониторинга Zabbix уязвимости, которая позволяет выполнить атаку типа SQL-инъекция. Уязвимость BDU:2024-10543^[1] имеет уровень опасности 9.9 из 10 по CVSSv3. Ошибка исправлена производителем, поэтому основной рекомендаций является обновление Zabbix до одной из последних версий – 7.0.1rc1, 6.0.32rc1 или 6.4.17rc1.

Уязвимость найдена в функции addRelatedObjects, которая является частью средства мониторинга с открытыми кодами Zabbix. Она позволяет злоумышленнику, обладая минимальными полномочиями, встроить свой SQL-запрос к базе данных, что может привести к поднятию полномочий злоумышленника в СУБД. Уязвимость появилась в версии 6.0, поэтому более ранние версии не затронуты. Признаков эксплуатации этой уязвимости пока не выявлено, однако методов эффективной эксплуатации SQL-инъекций разработано достаточно много.

Zabbix крайне популярен во многих российских компаниях, от самых больших до самых маленьких. Он является одним из ведущих инструментов мониторинга, — заявил TAdviser Филипп Щербанич, независимый ИТ-эксперт и backend-разработчик. — По данным исследования компании «Флант» от 2023 года, 52,5% респондентов использовали Zabbix для сбора метрик, что превышало показатели других систем, таких как Prometheus. Еще одним показателем популярности данной системы может быть и то, что в 2019 году компания Zabbix открыла представительство в России. Но в марте 2022 года она приостановила коммерческую деятельность в нашей стране.

Тем не менее Zabbix, как инструмент с открытым кодом, активно используется на российских предприятиях из разных отраслей.

На текущий момент среди более 16 тыс. отслеживаемых «СайберОК» СКИПА экземпляров Zabbix около 30% подвержены уязвимости BDU:2024-10543, — поделился с TAdviser Сергей Гордейчик, гендиректор «СайберОК». — Это серьезный показатель, особенно учитывая, что в системе часто можно встретить привилегированные учетные записи, а исправления были выпущены еще в июле. Тем не менее, важно отметить, что для использования этой уязвимости требуется наличие непривилегированной учетной записи, что в некоторой степени снижает риск. Однако для мультитенантных инсталляций, например на хостингах, проблема остается крайне актуальной и требует внимательного подхода.

Сергей Гордейчик подчеркнул, что более 40% всех систем Zabbix в Рунете функционируют на версиях ПО ниже 6.0.0. Это означает, что они используют устаревшие, не поддерживаемые, либо ограниченно поддерживаемые разработчиком версии ПО.

Система Zabbix очень популярна у российских компаний в силу её функциональности и гибкости, — отметил Дмитрий Зубарев, заместитель директора аналитического центра УЦСБ. — Мы часто встречаем её при проведении пентестов и аудитов корпоративных сетей компаний из самых разных отраслей: от ИТ до добывающей промышленности. Это значит, что упомянутая уязвимость может быть актуальна для большого количества компаний вне зависимости от сферы их деятельности.

𝓲

TAdviser

При этом уровень критичности уязвимости достаточно высок, то есть она может быть опасна для широкого круга пользователей Zabbix. Уязвимость можно эксплуатировать практически с любыми правами доступа к системе Zabbix, предупредил читателей TAdviser Руслан Сулейманов, директор по цифровой трансформации Innostage.

Уязвимость затрагивает версии Zabbix 6.0.0–6.0.31, 6.4.0–6.4.16 и 7.0.0. Она является критической и позволяет любому пользователю Zabbix выполнять произвольные SQL запросы. Основной вектор использования – это повышение привилегий в системе Zabbix.

Причём чем больше система мониторинга, построенная на Zabbix, интегрирована в информационную систему, тем опасней оказывается такая конфигурация для пользователей.

Уязвимость является критической, поскольку позволяет неаутентифицированному злоумышленнику получить доступ к данным из баз Zabbix, содержащих в том числе и учетные записи администраторов системы, — пояснил Дмитрий Орлов, руководитель отдела анализа защищенности Simplity. — Проэксплуатировать её сможет даже самый неопытный хакер. Реальную опасность уязвимость будет представлять в том случае, если Zabbix интегрирован в инфраструктуру, не изолирован от домена и использует доменные учетные записи. Если же Zabbix изолирован от внутренней сети, то злоумышленник может получить информацию, которая пригодится ему для дальнейшей атаки на компанию.

Также эксплуатация свежевыявленой уязвимости может позволить злоумышленнику захватить учетную запись администратора, после чего с помощью эксплуатации другой уязвимости Zabbix (CVE-2024-22116) он может получить удаленный доступ к серверу, на котором запущен Zabbix, добавил Дмитрий Орлов.TAdviser выпустил новую Карту «Цифровизация промышленности»: свыше 250 разработчиков и поставщиков услуг 22.9 т

Однако, массовая эксплуатация данной уязвимости в большинстве случаев затруднена тем, что система мониторинга по требованиям безопасности обычно установлена за периметром, внутри корпоративной сети, и до неё ещё нужно добраться.

Уровень критичности обнародованной уязвимости очень близок к максимальному, но массовая эксплуатация затруднена тем, что, во-первых, злоумышленнику нужна учётная запись в Zabbix хотя бы с минимальными правами, а, во-вторых, нужен сетевой доступ к серверу Zabbix, который в мало-мальски озаботившихся ИБ компаниях невозможен напрямую из интернета, — считает Илья Поляков, руководитель отдела анализа кода Angara Security. — То есть чтобы проэксплуатировать эту SQL-инъекцию, хакерам потребуется осуществить "пробив" периметра организации и скомпрометировать учётку Zabbix, а это всё ручная работа.

Именно сокрытие интерфейса внутри периметра корпоративной сети и является основным методом защиты от подобных атак. Кроме того, в случае невозможности обновления ПО Zabbix ФСТЭК рекомендует следующие компенсирующие меры:

• Ограничить доступ пользователей к прикладному программному интерфейсу (API) уязвимого ПО;
• Использовать средства межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому ПО;
• Отключить или полностью удалить неиспользуемые учётные записи пользователей уязвимого ПО;
• Минимизировать привилегии пользователей.

Впрочем, Дмитрий Кузеванов, CISO, директор центра мониторинга и реагирования UserGate, предлагает вместо классического межсетевого экрана использовать NGFW:

Защита от любых уязвимостей вне зависимости от их критичности универсальна: своевременно обновлять ПО и использовать надежную современную систему межсетевого экранирования — NGFW — c системой обнаружения вторжений. Она позволяет блокировать вредоносную активность на уровне сети. При этом не стоит забывать, что защитные решения для поддержания актуальности также требуют регулярного обновления.

Впрочем, SQL-инъекции – своеобразный тип атаки, который даже NGFW не всегда могут распознать, поскольку взлом происходит с нарушением логики работы приложений. Именно разработчики приложений должны либо встроить защиту, либо своевременно исправлять уязвимости.

SQL-инъекции представляют собой одну из самых распространенных угроз для веб-приложений, особенно для тех, которые взаимодействуют с базами данных, — пояснил TAdviser Дмитрий Хомутов, директор компании Ideco. — Чтобы защитить систему от подобных атак, следует использовать параметризованные запросы вместо конкатенации строк при формировании SQL-запросов. Это помогает избежать внедрения вредоносного кода. Регулярные аудиты безопасности приложений необходимы для своевременного выявления и устранения уязвимостей. Кроме того, стоит применять Web Application Firewall (WAF) — систему защиты, которая анализирует веб-трафик и блокирует подозрительные запросы, такие как SQL-команды или другие нестандартные паттерны. В отличие от традиционного межсетевого экрана, WAF работает на уровне приложений, обеспечивая защиту от множества угроз.

Однако если разработчиком веб-приложения является сама компания, то механизмы защиты от SQL-инъекций должны быть расширены:

В случае, если компания сама является разработчиком ПО или использует в своей работе «самописный» софт, то неотъемлемой частью разработки будет аудит созданных (обновленных) программных модулей на тестовом стенде перед их внедрением в основную публикацию, — предупреждает Константин Горбунов, эксперт по сетевым угрозам «Кода Безопасности». — Он должен включать в себя как компоненты тестирования (функциональное, unit и автоматизированное), так и проверки информационной безопасности - сканирование открытых узлов, поиск различных уязвимостей как на клиенте (возможность отражённых запросов (XSS), межсайтовых подделок запроса (CSRF) или повышения привилегий с помощью модификации javascript-кода), так и на сервере (SQL-инъекции, проверки на неавторизованный доступ, CSV-инъекции, валидация входящих параметров и другие).

2022

Zabbix 6.0 LTS

15 февраля 2022 года компания Zabbix объявила о выпуске очередной версии Zabbix 6.0 LTS.

Zabbix 6.0 LTS

По информации компании, мониторинг сервисов претерпел значительные изменения. Zabbix 6.0 LTS направлен на обеспечение дополнительной ценности бизнеса за счет использования обновленных функций мониторинга бизнес-сервисов (BSM). Мониторинг бизнес-сервисов сочетает в себе производительность и оптимизированный UI/UX, предоставляя конечным пользователям инструменты, необходимые для мониторинга ресурсно-сервисной модели, проведения автоматизированного анализа исходных данных, контроля уровней SLA и т.д.

Готовое решение для обеспечения надлежащей доступности позволяет пользователям Zabbix развернуть доступный кластер сервера Zabbix без использования внешних инструментов. Теперь пользователи могут развернуть один или несколько резервных узлов и избежать сбоев во время незапланированных отключений, обновления сервера или других задач по обслуживанию.

Благодаря машинному обучению Zabbix, обнаружение аномалий стало проще, чем раньше. Целью было предоставить набор функций, позволяющий пользователям избежать статического определения порога проблемы, вместо этого полагаясь на машинное обучение Zabbix.

Поскольку контейнеры и системы оркестровки контейнеров становятся все более популярными, важно предоставить соответствующее решение для мониторинга этих сред. Благодаря поддержке мониторинга узлов, нодов и внутренних компонентов Kubernetes, пользователи Zabbix теперь имеют возможность контролировать свои инсталляции Kubernetes на нескольких уровнях.

Zabbix 6.0 LTS поставляется в комплекте с множеством шаблонов для различных поставщиков, таких как Dell, Cisco, F5, Cloudflare и других. Помимо оптимизированного сбора данных, обновленная версия также предоставляет другие способы их визуализации. Команды ITOps оценят возможность создавать географические карты и получать более полное представление о состоянии инфраструктуры компании. Релиз также позволяет более детально изучать собранные данные с помощью дополнительного набора виджетов: обзор данных верхнего и нижнего значения, визуализация состояния SLA и другое.

Одновременно с выпуском обновленной версии, компания Zabbix предлагает обновленный набор учебных курсов, разработанных для Zabbix 6.0 LTS. Учебные курсы охватывают все возможности Zabbix 6.0 LTS - от изучения графического интерфейса пользователя до развертывания сложных распределенных сред и изучения принципов работы внутренних процессов Zabbix.

Помимо обновленных функций, Zabbix 6.0 LTS также включает множество изменений UI/UX и оптимизацию производительности, а также набор шаблонов мониторинга и интеграций для различных вендоров, таких как pfSense, F5, Mikrotik, Dell, HPE и других. Zabbix 6.0 LTS также включает изменения, представленные в предыдущих не-LTS релизах - Zabbix 5.2 и Zabbix 5.4.

Совместимость с платформой виртуализации VMmanager

7 февраля 2022 года компания Zabbix сообщила, что подтверждена технологическая совместимость системы мониторинга сетевых сервисов, оборудования и серверов Zabbix с платформой виртуализации VMmanager. Теперь пользователи могут осуществлять мониторинг всей инфраструктуры - как физической, так и виртуальной - с помощью одного универсального решения.

Zabbix – инструмент для удаленного мониторинга аппаратных и программных ресурсов. Система позволяет решать задачи по отслеживанию сетевой активности и работоспособности серверов, а также предупреждать о потенциально опасных ситуациях. Благодаря встроенным механизмам анализа и прогнозирования, Zabbix регулирует эффективное использование IT-инфраструктуры в различных компаниях.

VMmanager 6 – платформа для построения и управления облачной виртуальной инфраструктурой on premise. Она позволяет развернуть инфраструктуру, используя как аппаратную виртуализацию KVM так и контейнерную LXD\LXC. VMmanager 6 предоставляет конечному пользователю возможность управлять виртуальными сетями независимо от физической сети (SDN на базе VXLAN/EVPN), а также строить Overlay-сети и IP-fabric не используя специализированного оборудования. Решение контролирует состояние ресурсов, имеет встроенную интеграцию с инструментом визуализации метрик Grafana и системой мониторинга Zabbix. Наличие таких интеграций упрощает внедрение продукта и уменьшает трудозатраты при его обслуживании.

«Мы стремимся дать нашим пользователям достаточно большую ценность в продукте, которая повысит качество и надежность инфраструктуры, сократит затраты на внедрение и ресурсы на обслуживание. Zabbix – общепризнанный технологичный инструмент для мониторинга, по этой причине мы реализовали интеграцию именно с этим ПО», – говорит Александр Гришин, владелец продукта VMmanager.

2021: Совместимость с ОС Astra Linux

24 декабря 2021 года ГК Astra Linux, разработчик защищенных ОС и средств виртуализации, сообщил о заключении соглашения о технологическом партнерстве с компанией Zabbix, производителем одноименного комплексного программного решения для мониторинга полного технологического стека в ИТ-инфраструктурах любого масштаба.

Согласно документу, в планы вендоров входят всесторонняя проверка и обеспечение совместимости ПО Zabbix с ОС Astra Linux, официальная сертификация продукта в рамках программы кооперации ИТ-производителей Ready for Astra Linux, а также совместная работа в сферах формирования, продвижения, внедрения и сопровождения отечественных высокотехнологичных решений для автоматизированных защищенных систем на базе продуктов Zabbix и Astra Linux. Полный спектр областей взаимодействия будет определен в ходе запланированных технических и бизнес-встреч.

Мы стремимся сделать использование системы мониторинга Zabbix максимально удобным для наших пользователей и клиентов. Это значит не только наличие интерфейса, документации и предлагаемых услуг на русском языке, но также и полную совместимость с отечественным ПО. Партнерство с ГК Astra Linux позволит нашей команде гарантировать такую совместимость решения Zabbix с ОС Astra Linux в долгосрочной перспективе, а это в свою очередь даст возможность клиентам активнее использовать отечественные программные продукты, — отметил Сергей Сорокин, директор ООО «Заббикс».

Наша общая цель —наполнить ИТ-рынок не просто большим набором разнообразного софта и «железа», а сделать так, чтобы все компоненты корректно работали в рамках единой инфраструктуры. Только в этом случае импортозамещение будет действительно полезным и эффективным. Вместе со специалистами Zabbix мы проведем все необходимые тесты и, если понадобится, инициируем доработки продукции, которые обеспечат корректность работы, удобство и стопроцентную надежность комплексных решений, — сказал Антон Рудевский, руководитель департамента по работе с партнерами ГК Astra Linux.

2015: Zabbix 3.0

В релизе Zabbix 3.0, запланированном на осень 2015 года, планируется реализовать концепцию «приоритет на стороне интерфейса»: создать более удобный и современный минималистический интерфейс для широких экранов, собственные пользовательские страницы, первые версии виджетов и дашбордов. Кроме того, появится встроенная поддержка «сильного» шифрования и аутентификации (TLS, PSK, OpenSSL, GnuTLS, Polar SSL), будет внедрен новый вид макросов - контекстные. В числе анонсированных улучшений также – гибкое выполнение проверок (может использоваться как чек-лист готовности бизнес-систем к работе), аутентификация для SMTP, версионность XML, улучшение мониторинга лог-файлов, расширенная поддержка ODBC, baseline-мониторинг (обнаружение аномалий и работа с тенденциями).

Основные направления улучшений:

• web-интерфейс (ориентированная на объекты мониторинга навигация, связность информации, скорость работы на больших инсталляциях);
• API (перемещение API на сторону сервера, ускорение работы API как минимум в 10 раз, переработка механизма уведомления об ошибках);
• визуализация (у системы отличный back-end, и front-end необоходимо довести до такого же уровня);
• отчетность (улучшение визуализации данных, гибкие настройки аналитики, повышение скорости отклика системы при формировании отчетности в режиме реального времени на любом объеме данных);
• развитие архитектуры (горизонтальная масштабируемость на уровне хранилища, встроенные средства обеспечения доступности и отказоустойчивости, «новый» распределенный мониторинг, отделение операционной части системы от исторических данных.

2014

По состоянию на 2014 год ведущим продуктом компании Zabbix SIA является система для мониторинга сетей и приложений Zabbix – одна из наиболее популярных программ для мониторинга с открытым кодом. Zabbix используется большим числом компаний, выбравших его за простоту в использовании, высокую отказоустойчивость, масштабируемость и надежность в эксплуатации при исключительно низких затратах на его использование.

Первый релиз Zabbix состоялся в 2001 году. Zabbix SIA было основано в 2005 году с целью оказания профессиональных технических услуг. Главный офис находится в Риге (Латвия), филиал расположен в Токио (Япония). Директором Zabbix SIA является ее владелец и создатель программы для мониторинга Владышев Алексей.

В списке клиентов Zabbix SIA – компании различного размера из разных отраслей, в том числе крупнейшие телекоммуникационные, финансовые, образовательные, торговые, медицинские и государственные учреждения со всего мира, часть из которых входит в список Fortune 500.

У компании более 65 партнеров по всему миру, в их числе – отраслевые лидеры в своих странах.

Решение Zabbix разработано для компаний любого размера и сферы деятельности и предназначено для мониторинга устройств, сетей, ОС, виртуальных машин, межплатформенного ПО и бизнес-приложений. Ключевыми конкурентными преимуществами решения являются универсальность, высокая скорость работы, широкие возможности визуализации и простота обслуживания. Согласно оценке вендора, один сервер Zabbix позволяет обрабатывать свыше 25000 новых событий в секунду, что эквивалентно мониторингу 50 000 устройств по 15 параметрам с 30-секундным интервалом.

Услуга мониторинга корпоративных ИТ-сервисов и инфраструктуры по модели SaaS в первую очередь адресована компаниям, для которых ИТ-инфраструктура является критически важным звеном в бизнесе в силу масштабов деятельности, уникальности конфигураций, высоких требований к обеспечению деятельности офисов в едином информационном пространстве, неоднородности по производителям, качеству работы и каналам связи.

Мониторинг корпоративных ИТ-сетей и сервисов является сегодня одной из наиболее востребованных услуг на мировом рынке ИТ-сервисов - по данным обзора MSP Mentor, в мире она возглавляет список наиболее важных инструментов поддержки бесперебойной работы компаний (96,6%) , в России спрос на нее также растет. Наиболее заметна эта потребность у компаний, для которых простой ИТ-сервисов критичен для ключевых бизнес-процессов и чреват серьезными финансовыми рисками, в том числе - у организаций с территориально-распределенной инфраструктурой, которая должна работать безотказно в режиме 24x7.