Multiple Vulnerabilities Reported in Checkmk IT Infrastructure Monitoring Software
2022/11/02 TheHackerNews — モニタリング・ソフトウェアである Checkmk IT Infrastructure に存在する、複数の脆弱性が報告された。これらの脆弱性により、認証されていないリモートの攻撃者が、連鎖的に影響を受けるサーバを完全に乗っ取る可能性が生じている。SonarSource の研究者である Stefan Schiller は、「これらの脆弱性を連鎖させることで、Checkmk 2.1.0p10 以下のサーバ上でのコード実行が、未認証のリモート攻撃者に許されてしまう」と、技術分析で述べている。
Checkmk のオープンソース版の監視ツールは、Nagios Core をベースにしたものであり、また、NagVis との統合により、インフラ/サーバ/ポート/プロセスなどの、トポロジカル・マップの視覚化/生成を提供している。
ミュンヘンに本社を置く開発会社 tribe29 GmbH によると、Enterprise 版と Raw 版は、Airbus/Adobe/NASA/Siemens/Vodafone など、2000社以上の顧客に利用されているとのことだ。
Checkmk IT Infrastructure に存在する脆弱性は合計で4件であり、それぞれ深刻度 は Critical 2件/Medium 2件に分類されている。
- watolib の auth.php におけるコード・インジェクションの脆弱性 (CVSS:9.1)
- NagVis における任意のファイル読み込みの脆弱性 (CVSS:9.1)
- Checkmk の Livestatus ラッパーと Python API のコマンド・インジェクションの脆弱性 (CVSS:6.8)
- ホスト登録 API における SSRF の脆弱性 (CVSS:5.0)
これらの脆弱性が単独で及ぼす影響は限定的だが、攻撃者は、SSRF の脆弱性から問題を連鎖させることで、localhost のみに許されたエンドポイントへのアクセスを達成し、認証を回避して設定ファイルを読み取り、最終的には Checkmk GUI へのアクセスを獲得することが可能となる。
Schiller は、「NagVisとの統合に必要な auth.php というファイルを生成する、Checkmk GUI のサブコンポーネント watolib に存在する、コード・インジェクションの脆弱性を悪用することで、リモート・コード実行にいたる恐れがある」と説明している。
これらの4件の脆弱性のパッチは、2022年8月22日の開示後に、9月15日にリリースされた Checkmk 2.1.0p12 で適用されている。
今回の発見は、2022年上旬に Zabbix や Icinga などの他の監視ソリューションに複数の脆弱性が発見され、これを悪用して任意のコードを実行し、サーバを危険にさらす可能性があったことを受けたものだ。
Checkmk などの、IT インフラ・モニタリングに脆弱性が出ると、高権限で悪用される確率が生じるので、とても怖いですね。文中にもある Zabbix の件は、2月25日の「CISA 警告:Zabbix サーバの深刻な脆弱性を悪用リストに追加」で、詳しく解説されていますので、よろしければ、ご参照ください。なお、Checkmk の4件の脆弱性ですが、現時点では CVE が見つかっていません。
IoT OT Security News 
You must be logged in to post a comment.