检测到的漏洞可以链接在一起
Checkmk IT Infrastructure 监控软件中披露了多个漏洞,未经身份验证的远程攻击者可以将这些漏洞链接在一起,以完全接管受影响的服务器。
SonarSource 研究员 Stefan Schiller 在技术分析中表示:“未经身份验证的远程攻击者可以将这些漏洞链接在一起,以便在运行 Checkmk 2.1.0p10 及更低版本的服务器上执行代码。”
Checkmk 的监控工具的开源版本基于 Nagios Core,并提供与 NagVis 的集成,用于可视化和生成基础设施、服务器、端口和进程的拓扑图。
据总部位于慕尼黑的开发商 tribe29 GmbH 称,其企业版和 Raw 版被超过 2,000 家客户使用,包括空中客车、Adobe、NASA、西门子、沃达丰等。
这四个漏洞由两个严重漏洞和两个中等严重漏洞组成,如下所示:
watolib 的 auth.php 中的代码注入缺陷(CVSS 评分:9.1)
NagVis 中的任意文件读取缺陷(CVSS 分数:9.1)
命令注入漏洞 Checkmk 的 Livestatus 包装器和 Python API(CVSS 分数:6.8),以及
主机注册 API 中的服务器端请求伪造 (SSRF) 缺陷(CVSS 评分:5.0)
虽然这些缺点本身的影响有限,但对手可以将这些问题联系起来,从 SSRF 缺陷开始访问只能从本地主机访问的端点,使用它绕过身份验证并读取配置文件,最终获得对 Checkmk GUI 的访问权限.
席勒表示,通过利用名为 watolib 的 Checkmk GUI 子组件中的代码注入漏洞,访问可以进一步转化为远程代码执行,该子组件生成 NagVis 集成所需的名为 auth.php 的文件。
继 2022 年 8 月 22 日负责任地披露后,这四个漏洞已在 2022 年 9 月 15 日发布的 Checkmk 版本 2.1.0p12 中得到修补。
自今年年初以来,Zabbix 和 Icinga 等其他监控解决方案中发现了多个漏洞,这些漏洞可能被利用来通过运行任意代码来破坏服务器。
简体中文 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada