CVE-2024-0670 (CVSS 8.8) – Checkmk Flaw: Hackers Gain Admin Control
2024/03/14 SecurityOnline — Checkmk は IT 監視ソリューションであり、Adobe/Cisco/Siemens/HP/Volkswagen などの大手企業で幅広く利用されている。その Checkmk に、深刻なセキュリティ脆弱性 CVE-2024-0670 (CVSS:8.8) が存在することを、SEC Consult Vulnerability Lab のセキュリティ専門家である Michael Baer が発見した。
エクスプロイトの理解
この脆弱性は、Checkmk Windows エージェントが一時ファイルを処理する方法に起因している。”C:∕WindowsTemp∕” ディレクトリ内に、特別に細工された悪意のファイルを、読み取り専用パーミッションで先取りして配置することで、攻撃者による操作が可能になる。つまり、それらの悪意のファイルを操作する Checkmk が、Windows の最高レベル・アクセス権である、SYSTEM 権限で実行してしまうことになる。
Checkmk のセキュリティ・アドバイザリには、「いくつかの SYSTEM コマンドを実行するために、Checkmk Windows エージェントは cmd ファイルを “C:∕Windows∕Temp∕” に書き込み、その後に実行する。それらのファイルのパーミッションは制限的に設定されているが、既存のファイルは適切に処理されていない。したがって、cmd ファイルが既に存在し、書き込み保護されている場合には、エージェントによりファイルの書き換えが処理されないが、そのようなケースでもファイルは実行されてしまう」と記されている。
危険性:何が問題になるのか
脆弱性 CVE-2024-0670 の悪用に成功した攻撃者は、侵害したシステムを広範囲にコントロールできるようになる。起こり得ることは、以下の通りである:
- データの窃取:機密情報が簡単に盗まれる可能性があり、深刻な法的影響や風評被害を伴うデータ侵害につながる可能性が生じる。
- マルウェアの展開:ランサムウェアやスパイ目的のペイロードに、システムが感染する可能性が生じる。
- ネットワークへの侵入:1台のマシンを足がかりにして攻撃をエスカレートし、組織ネットワーク内の他の脆弱なシステムへの侵入にいたる可能性がある。
誰がリスクを負うのか?
以下のバージョンの Checkmk を使用している組織は、早急な対策が必要である:
- 2.0.0
- 2.1.0
- 2.2.0
自己防衛:パッチ適用と監視
すでに Checkmk は、この脆弱性に対処するパッチをリリースしている。2.1.0p40/2.2.0p23 への早急なアップデートが最優先となる。これらのパッチは、Checkmk の公式 Web サイト “https://checkmk.com/download” からダウンロードできる。
パッチは極めて重要だが、積極的な対策は、単にパッチを当てるだけに留まらない:
- 兆候を探す:”C:∕Windows∕Temp∕” ディレクトリ内に、”cmk_all_\d+_1.cmd” といった名前のファイルが無いことを確認する。このパターンは、悪用の試みを示唆している。
- セキュリティ・ツール: エンドポイント保護ソリューションや、侵入検知システムを活用し、これらも脆弱性を利用する攻撃を発見する。
Checkmk に脆弱性のことですが、モニタリング機能の欠陥は怖いですよね。このブログ内を検索したところ、2022/11/02 の「Checkmk に複数の脆弱性:IT インフラ監視ソフトウェアに乗っ取りの可能性」という記事が見つかりました。よろしければ、Monitoring で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.