Nhiều lỗ hổng đã được tiết lộ trong phần mềm giám sát Cơ sở hạ tầng CNTT Checkmk có thể được xâu chuỗi lại với nhau bởi một kẻ tấn công từ xa, không được xác thực để chiếm lấy hoàn toàn các máy chủ bị ảnh hưởng.
"Những lỗ hổng này có thể được xâu chuỗi lại với nhau bởi một kẻ tấn công từ xa, không được xác thực để đạt được thực thi mã trên máy chủ chạy Checkmk phiên bản 2.1.0p10 trở xuống," nhà nghiên cứu Stefan Schiller của SonarSource cho biết trong một phân tích kỹ thuật.
Phiên bản mã nguồn mở của Checkmk của công cụ giám sát dựa trên Nagios Core và cung cấp tích hợp với NagVis để trực quan hóa và tạo bản đồ tôpô của cơ sở hạ tầng, máy chủ, cổng và quy trình.
Theo nhà phát triển tribe29 GmbH có trụ sở tại Munich, các phiên bản Enterprise và Raw của họ được sử dụng bởi hơn 2.000 khách hàng, bao gồm Airbus, Adobe, NASA, Siemens, Vodafone và những người khác.
Bốn lỗ hổng, bao gồm hai lỗi Nghiêm trọng và hai lỗi nghiêm trọng trung bình, như sau -
- Một lỗ hổng tiêm mãtrong xác thực của watolib.php (điểm CVSS: 9.1)
- Một lỗ hổng đọc tệp tùy ýtrong NagVis (điểm CVSS: 9.1)
- Một lỗ hổng tiêm lệnh Checkmk'sLivestatus wrapper và Python API (điểm CVSS: 6.8), và
- Lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) trong API đăng ký máy chủ (điểm CVSS: 5.0)
Schiller giải thích: "Quyền truy cập này có thể được chuyển thành thực thi mã từ xa bằng cách khai thác lỗ hổng Code Injection trong thành phần con GUI Checkmk được gọi là watolib, tạo ra một tệp có tên là auth.php cần thiết cho tích hợp NagVis. "
Sau khi tiết lộ có trách nhiệm vào ngày 22 tháng 8 năm 2022 , bốn lỗ hổng đã được vá trong Checkmk phiên bản 2.1.0p12 được phát hành vào ngày 15 tháng 9 năm 2022.
Các phát hiện theo sau việc phát hiện ra nhiều sai sót trong các giải pháp giám sát khác như Zabbix và Icinga kể từ đầu năm, có thể đã được khai thác để xâm phạm các máy chủ bằng cách chạy mã tùy ý.