CVE-2013-5572.- Zabbix 2.0.5 Password Leak

Hoy me ha sorprendido, al hacer un repaso a mir redes sociales, un tweet que tenia un enlace a esta vulnerabilidad cuyos autores son Germán Sánchez, Pablo González y Chema Alonso, todos ellos grandes de la Seguridad Informatica en España. No me he podido estar de curiosear en ella y aprender un poco de que iba. 

Primeramente Zabbix es una herramienta de monitorización de codigo libre, la cual nos ofrece todo lo siguiente: 

• Detección automática de servidores y dispositivos de red
• Descubrimiento de bajo nivel
• Control distribuido con web de administración centralizada
• Soporte para votación y mecanismos de retención
• Software de servidor para Linux, Solaris, HP-UX, AIX, Free BSD, Open BSD, OS X
• Agentes nativos de alto rendimiento (software de cliente para Linux, Solaris, HP-UX, AIX, Free BSD, Open BSD, OS X, Tru64/OSF1, Windows NT 4.0, Windows 2000, Windows 2003, Windows XP, Windows Vista)
• Sin agentes de vigilancia
• Autenticación segura de los usuarios
• Permisos de usuario flexibles
• Interfaz basada en web
• Notificación por correo electrónico flexible de los eventos predefinidos
• Vista de alto nivel (de negocios) de los recursos supervisados
• Registro de auditoría

Este error permite ver la contraseña de un usuario de zabbix , si este usuario tiene una sesión abierta en la consola de administración. Esta vulnerabilidad permite una elevación de privilegios que afecta a la forma en recursos de Active Directory en redes empresariales.

Os dejo el "paper"/ vulnerabilidad aquí abajo no tiene desperdicio:  

Para mas información:

• http://packetstormsecurity.com/files/123385/Zabbix-2.0.5-Password-Leak.html

Sed Buenos con esto ;)