0x00 漏洞概述
2022年11月01日,Checkmk中被披露存在多個漏洞,可在未經身份驗證的情況下組合利用這些漏洞來控制受影響的設備。
0x01 漏洞詳情
Checkmk是使用 Python 和 C++ 開發的 IT基礎設施監控解決方案。Checkmk的開源版監控工具基於Nagios Core,並提供與NagVis的集成,用於視覺化和生成基礎設施、伺服器、埠和進程的拓撲圖。
研究人員公開披露了Checkmk 及其 NagVis 集成中4個安全漏洞的詳情,目前這些漏洞暫未分配CVE-ID,如下:
CVSS評分 9.1:watolib 的auth.php 中的程式碼注入漏洞
CVSS評分 9.1:NagVis 中的任意檔案讀取漏洞
CVSS評分 6.8:ajax_graph_images.py 中的換行注入漏洞
CVSS評分 5.0:agent-receiver中的伺服器端請求偽造(SSRF)漏洞
雖然一些漏洞個體本身影響有限,但可以通過組合利用這些漏洞在運行Checkmk 易受攻擊版本的伺服器上遠端執行程式碼,並完全控制伺服器。
影響範圍
Checkmk 版本 <= 2.1.0p10
0x02 處置建議
目前這些漏洞已經修復,受影響使用者可升級到Checkmk 2.1.0p12或更高版本。
下載連結:
https://checkmk.com/download
0x03 參考連結
https://blog.sonarsource.com/checkmk-rce-chain-1/
https://checkmk.com/company/our-customers
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-11-03 | 首次發佈 |
