શોધાયેલ નબળાઈઓને એકસાથે સાંકળી શકાય છે
Checkmk IT ઈન્ફ્રાસ્ટ્રક્ચર મોનિટરિંગ સૉફ્ટવેરમાં બહુવિધ નબળાઈઓ જાહેર કરવામાં આવી છે જે અસરગ્રસ્ત સર્વર્સને સંપૂર્ણપણે કબજે કરવા માટે બિનઅધિકૃત, રિમોટ હુમલાખોર દ્વારા એકસાથે સાંકળી શકાય છે.
સોનારસોર્સના સંશોધક સ્ટેફન શિલરે ટેકનિકલ વિશ્લેષણમાં જણાવ્યું હતું કે, "ચેકએમકે વર્ઝન 2.1.0p10 અને તેનાથી નીચેના સર્વર પર કોડ એક્ઝિક્યુશન મેળવવા માટે આ નબળાઈઓને અપ્રમાણિત, રિમોટ હુમલાખોર દ્વારા એકસાથે સાંકળી શકાય છે."
ચેકએમકેની મોનિટરિંગ ટૂલની ઓપન સોર્સ એડિશન Nagios કોર પર આધારિત છે અને ઈન્ફ્રાસ્ટ્રક્ચર, સર્વર્સ, પોર્ટ્સ અને પ્રક્રિયાઓના ટોપોલોજિકલ નકશાના વિઝ્યુલાઇઝેશન અને જનરેશન માટે NagVis સાથે એકીકરણ પ્રદાન કરે છે.
તેના મ્યુનિક સ્થિત ડેવલપર ટ્રાઈબ 29 જીએમબીએચ અનુસાર, તેની એન્ટરપ્રાઇઝ અને રો એડિશનનો ઉપયોગ એરબસ, એડોબ, નાસા, સિમેન્સ, વોડાફોન અને અન્ય સહિત 2,000 થી વધુ ગ્રાહકો કરે છે.
ચાર નબળાઈઓ, જેમાં બે ગંભીર અને બે મધ્યમ તીવ્રતાની ભૂલો છે, તે નીચે મુજબ છે -
વોટોલિબના auth.php (CVSS સ્કોર: 9.1) માં કોડ ઇન્જેક્શનની ખામી
નાગવિસ (CVSS સ્કોર: 9.1) માં મનસ્વી ફાઇલ વાંચવામાં ખામી
આદેશ ઈન્જેક્શન ખામી Checkmk ના Livestatus રેપર અને Python API (CVSS સ્કોર: 6.8), અને
હોસ્ટ રજીસ્ટ્રેશન API (CVSS સ્કોર: 5.0) માં સર્વર-સાઇડ વિનંતી બનાવટી (SSRF) ખામી
જ્યારે આ ખામીઓ પોતાની રીતે મર્યાદિત અસર ધરાવે છે, ત્યારે પ્રતિસ્પર્ધી મુદ્દાઓને સાંકળી શકે છે, SSRF ખામીથી શરૂ કરીને, ફક્ત લોકલહોસ્ટથી જ પહોંચી શકાય તેવા એન્ડપોઇન્ટને એક્સેસ કરવા માટે, તેનો ઉપયોગ કરીને પ્રમાણીકરણને બાયપાસ કરવા અને રૂપરેખાંકન ફાઇલ વાંચવા માટે, આખરે Checkmk GUI ની ઍક્સેસ મેળવે છે. .
શિલરે જણાવ્યું હતું કે વોટોલિબ નામના Checkmk GUI સબકમ્પોનન્ટમાં કોડ ઇન્જેક્શન નબળાઈનો ઉપયોગ કરીને ઍક્સેસને રિમોટ કોડ એક્ઝિક્યુશનમાં ફેરવી શકાય છે, જે NagVis એકીકરણ માટે જરૂરી auth.php નામની ફાઇલ જનરેટ કરે છે.
22 ઓગસ્ટ, 2022ના રોજ જવાબદાર ખુલાસા બાદ, 15 સપ્ટેમ્બર, 2022ના રોજ પ્રકાશિત થયેલ Checkmk વર્ઝન 2.1.0p12માં ચાર નબળાઈઓને પેચ કરવામાં આવી છે.
તારણો વર્ષની શરૂઆતથી જ અન્ય મોનિટરિંગ સોલ્યુશન્સ જેમ કે ઝબ્બીક્સ અને આઈસીન્ગામાં બહુવિધ ખામીઓની શોધને અનુસરે છે, જેનો ઉપયોગ મનસ્વી કોડ ચલાવીને સર્વર્સ સાથે સમાધાન કરવા માટે થઈ શકે છે.