CVE-2022-23131——绕过 SAML SSO 身份验证
漏洞描述
安全断言标记语言 (SAML) 是最常见的单点登录 (SSO) 标准之一。围绕 XML 实现,它允许身份提供者(IdP,一个能够对用户进行身份验证的实体)告诉服务提供者(SP,这里是 Zabbix)你是谁。您可以将Zabbix Web 前端配置为允许通过 SAML 进行用户身份验证,但默认情况下不启用它,因为它需要了解身份提供者的详细信息。这是企业部署最常见的设置。
在启用 SAML SSO 身份验证的实例上,它允许绕过身份验证并获得管理员权限。攻击者可以使用此访问权限在链接的Zabbix Server和Zabbix Agent实例上执行任意命令。
影响范围
Zabbix Web 前端版本包括
- 5.4.8
- 5.0.18
- 4.0.36
漏洞分析
与 SAML 身份验证机制相关的代码可以在index_sso.php中找到。简而言之,它的目标是:
- 将用户重定向到 IdP;
- 用户通过身份验证后,验证传入 SAML 有效负载的格式和签名。创建一个名为
saml_data的会话条目来记住用户的属性; - 如果会话中存在名为saml_data的条目,则提取其值并根据
username_attribute的值在 Zabbix 上对用户进行身份验证。
index_sso.php
if (CSessionHelper::has('saml_data')) {$saml_data = CSessionHelper::get('saml_data');CWebUser::$data = API::getApiService('user')->loginByUsername($saml_data['username_attribute'],(CAuthenticationHelper::get(CAuthenticationHelper::SAML_CASE_SENSITIVE) == ZBX_AUTH_CASE_SENSITIVE),CAuthenticationHelper::get(CAuthenticationHelper::AUTHENTICATION_TYPE));
漏洞利用
漏洞利用很简单,特别是因为Zabbix Web 前端自动配置了一个名为Admin的高权限用户。
fofa:app="ZABBIX-监控系统" && body="saml"
参考视频:https://youtu.be/5dci1i6Fq3M?t=22
一旦在仪表板上被认证为管理员,攻击者可以在任何附加的Zabbix Server上执行任意命令,如果在配置中明确允许AllowKey=system.run[*](非默认) ,则可以在Zabbix Agents上执行。
1、replace [zbx_signed_session] to [cookie]
2、sign in with Single Sign-On (SAML)
绕过登录进入后台
EXP
关注公众号后台回复“CVE-2022-23131”获取
CVE-2022-23131——绕过 SAML SSO 身份验证相关推荐
- CVE-2022-23131 Zabbix SAML SSO认证绕过漏洞
一.漏洞概述 Zabbix 是一个非常流行的开源监控平台,用于收集.集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标.它与 Pandora FMS 和 Nagios 等解决方案非常相似.由于其 ...
- 【高危】Apache Linkis Gateway模块存在身份验证绕过漏洞(CVE-2023-27987)
漏洞描述 Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件.Gateway 是 Linkis 接受客户端和外部请求的主要入口点, 在 Apache Linki ...
- 无密码多重身份验证(MFA)2022年全球行业分析报告
本文研究全球市场.主要地区和主要国家无密码多重身份验证(MFA)的销量.销售收入等,同时也重点分析全球范围内主要厂商(品牌)竞争态势,无密码多重身份验证(MFA)销量.价格.收入和市场份额等. 针 ...
- 服务器用户配置文件在哪里找,SharePoint Server 中的服务器到服务器身份验证和用户配置文件...
SharePoint Server 中的服务器到服务器身份验证和用户配置文件 8/24/2017 本文内容 适用于: 2013 2016 2019 Microsoft 365 使用服务器间身份验证,支 ...
- 两因素身份验证增强您的Spring Security
通过要求用户提供第二种身份验证,双重身份验证为您的Web应用程序增加了一层额外的安全保护. 常见的第二个因素包括: 验证码生物识别电子邮件或短信代码 让我们探讨如何利用Nexmo向现有的Web应用程序 ...
- outlook 服务器身份验证,Outlook 加载项中的身份验证选项
Outlook 加载项中的身份验证选项 06/22/2021 本文内容 Outlook 加载项可以访问 Internet 上任意位置的信息,无论是托管加载项的服务器.内部网络,还是云中的其他位置. 如 ...
- BurpSuite练兵场系列之服务器端漏洞篇 - 身份验证专题
https://www.anquanke.com/post/id/245533 robots 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领 ...
- 两台服务器身份验证,详解三种不同的身份验证协议
本文最初发布于devever.net网站,经原作者授权由InfoQ中文站翻译并分享. 现在,身份验证协议的数量快赶上应用程序协议,结果,这个领域很容易让人困惑. 最容易把人搞糊涂的是,很少有人注意到这 ...
- struts2漏洞监测_Apache Shiro身份验证绕过漏洞风险提示
漏洞公告 2020年8月17日,安恒应急响应中心监测发现Apache Shiro官方更新发布了1.6.0之前版本存在身份验证绕过的漏洞公告,对应CVE编号:CVE-2020-13933,相关链接: h ...
- 【CVE-2020-1957】shiro搭配spring时身份验证绕过漏洞分析
0x00 漏洞简介 https://www.openwall.com/lists/oss-security/2020/03/23/2 0x01 漏洞分析 翻查官方commit,在commit http ...
最新文章
- 超级直播tv港澳台版2020_直播链接 2020年泉州足球超级联赛 第一轮
- Service Bus EAI EDI 实验室发布了
- 宽字符集(unicode)说明以及转换函数
- 数组之间的计算matlab,MATLAB软件数组的运算
- 在js对象上绑定js数组原生方法
- IOS可执行文件学习总结
- asp.net core 系列 18 web服务器实现
- .NET Core 使用 HttpClient SSL 请求出错的解决办法
- Leetcode 124.二叉树中的最大路径
- 移植性问题のerror C2664: strcpy : 不能将参数 2 从 CString 转换为 const char *怎么回事?...
- node ajax crud,基于node.js和rethinkdb的CRUD(增删改查)Web服务
- LVM 逻辑卷管理精讲
- 跃迁 成为高手的技术
- .prettierrc代码格式化配置介绍
- VAV系统类毕业论文文献都有哪些?
- 基于transformer的车辆识别
- 怎么把PDF转换成JPG图片?这个方法你了解吗
- 蓝桥杯算法训练——调和数列问题
- 2019年第二阶段我要变强个人训练赛第十五场
- canvas rotate() 中心旋转的实际运用