Aşkar edilmiş zəifliklər bir-birinə zəncirlənə bilər
Checkmk İT İnfrastruktur monitorinq proqramında təsirə məruz qalmış serverləri tam ələ keçirmək üçün naməlum, uzaqdan hücumçu tərəfindən bir-birinə bağlana bilən çoxsaylı boşluqlar açıqlanıb.
SonarSource tədqiqatçısı Stefan Şiller texniki təhlildə bildirib ki, "Bu boşluqlar, Checkmk 2.1.0p10 və daha aşağı versiyaları ilə işləyən serverdə kod icrası əldə etmək üçün təsdiqlənməmiş, uzaqdan hücumçu tərəfindən birləşdirilə bilər".
Checkmk-in monitorinq alətinin açıq mənbə nəşri Nagios Core-a əsaslanır və infrastrukturların, serverlərin, portların və proseslərin topoloji xəritələrinin vizuallaşdırılması və yaradılması üçün NagVis ilə inteqrasiya təklif edir.
Münhendə yerləşən inkişaf etdirici tribe29 GmbH-ə görə, onun Enterprise və Raw nəşrlərindən Airbus, Adobe, NASA, Siemens, Vodafone və başqaları daxil olmaqla 2000-dən çox müştəri istifadə edir.
İki Kritik və iki Orta ciddi səhvdən ibarət olan dörd zəiflik aşağıdakılardır:
watolib-in auth.php-də kod yeridilməsi qüsuru (CVSS balı: 9.1)
NagVis-də ixtiyari bir fayl oxuma qüsuru (CVSS balı: 9.1)
Checkmk-in Livestatus paketi və Python API (CVSS hesabı: 6.8) əmr inyeksiya qüsuru və
Host qeydiyyatı API-də server tərəfi sorğu saxtakarlığı (SSRF) qüsuru (CVSS hesabı: 5.0)
Bu çatışmazlıqlar özlüyündə məhdud təsirə malik olsa da, rəqib SSRF qüsurundan başlayaraq, yalnız localhost-dan əldə edilə bilən son nöqtəyə daxil olmaq üçün problemləri zəncirləyə bilər, autentifikasiyadan yan keçmək və konfiqurasiya faylını oxumaq üçün istifadə edərək, nəticədə Checkmk GUI-yə giriş əldə edə bilər. .
Schiller bildirib ki, giriş daha sonra NagVis inteqrasiyası üçün tələb olunan auth.php adlı faylı yaradan watolib adlı Checkmk GUI altkomponentində Code Injection zəifliyindən istifadə etməklə uzaqdan kod icrasına çevrilə bilər.
22 avqust 2022-ci il tarixində məsuliyyətli açıqlamadan sonra dörd boşluq 15 sentyabr 2022-ci ildə buraxılmış Checkmk 2.1.0p12 versiyasında düzəldildi.
Tapıntılar ilin əvvəlindən bəri Zabbix və Icinga kimi digər monitorinq həllərində ixtiyari kod işlətməklə serverləri təhlükə altına almaq üçün istifadə edilə bilən çoxsaylı qüsurların aşkar edilməsini izləyir.