Checkmk IT基础设施监控软件中报告的多个漏洞

Checkmk IT基础设施监控软件中披露了多个漏洞，未经验证的远程攻击者可以将这些漏洞链接在一起，以完全接管受影响的服务器。

SonarSource研究员Stefan Schiller在技术分析中表示：“未经验证的远程攻击者可以将这些漏洞链接在一起，在运行Checkmk 2.1.0p10及更低版本的服务器上执行代码”。

Checkmk的监控工具开源版本基于Nagios Core，并提供与NagVis的集成，用于基础设施、服务器、端口和进程的拓扑图的可视化和生成。

据总部位于慕尼黑的开发商tribe29 GmbH称，其Enterprise和Raw版本被2000多家客户使用，包括空客、Adobe、NASA、西门子、沃达丰等。

四个漏洞包括两个严重和两个中等严重性错误，如下所示-

• watolib的auth.php中存在代码注入缺陷（CVSS评分：9.1）
• NagVis中的任意文件读取缺陷（CVSS评分：9.1）
• 命令注入缺陷Checkmk的Livestatus包装器和Python API（CVSS评分：6.8），以及
• 主机注册API中的服务器端请求伪造（SSRF）缺陷（CVSS评分：5.0）

虽然这些缺点本身的影响有限，但对手可以将这些问题联系起来，从SSRF缺陷开始，访问只能从本地主机访问的端点，使用它绕过身份验证并读取配置文件，最终获得对Checkmk GUI的访问权。

席勒解释道：“通过利用名为watolib的Checkmk GUI子组件中的代码注入漏洞，这种访问可以进一步转化为远程代码执行，该组件生成NagVis集成所需的名为auth.php的文件”。

在2022年8月22日进行了负责任的披露之后，这四个漏洞已在2022年9月15日发布的Checkmk 2.1.0p12版本中进行了修补。

这些发现之前，自年初以来，Zabbix和Icinga等其他监控解决方案中发现了多个漏洞，这些漏洞可能被利用来通过运行任意代码来危害服务器。