Monitoring-Software: Checkmk behebt Privilegieneskalation und Credential-Leck

Die Autoren der Monitoring-Lösung checkmk haben Sicherheitslücken in drei Plugins behoben und Updates veröffentlicht. Zwei der Flicken beheben unerwünschte Ausweitung der Privilegien zum Root-User, einer verdonnert ein allzu gesprächiges Plugin zu mehr Diskretion in der Prozessliste.

Im checkmk-Plugin für das Monitoring von Informix-Datenbanken verbirgt sich ein Ansatzpunkt für Angreifer, eigenen Code mit den Privilegien des Root-Nutzers auf einem betroffenen Server auszuführen. Das liegt an einer unsicheren Übernahme von Eingaben aus der Datei $INFORMIXDiR/bin/onstat. Der Fehler mit der CVE-ID CVE-2024-28824 hat demnach auch eine hohe Risikostufe und einen CVSSv3-Punktwert von 8,8/10, wie die checkmk-Entwickler in ihrem Sicherheitshinweis schreiben.

Ein ähnliches Problem verbirgt sich im Plugin mk_oracle, das zur Überwachung der gleichnamigen Datenbanken gedacht ist. Hat ein Angreifer die Möglichkeit, die durch das Plugin aufgerufenen Programme sqlplus, tnsping und crsctl zu ersetzen, werden die so manipulierten Dateien von mk_oracle mit Root-Rechten ausgeführt. Auch dieser Fehler hat gemäß dem checkmk-Team ein hohes Risiko (CVSS 8,2) und trägt die CVE-ID CVE-2024-0638.

Lediglich von niedriger Gefährlichkeit (CVSS 3,8) ist ein weiterer Fehler im Oracle-Plugin. Dieses ruft das sqlplus-Binary auf und übergibt diesem auf der Kommandozeile die Zugangsdaten zum Oracle-Server. Andere Nutzer des Monitoring-Servers konnten aus der Prozessliste die Zugangsdaten inklusive Passwort auslesen, was immerhin zur Vergabe der CVE-ID CVE-2024-1742 ausreichte.

Updates auf aktuelle Patchlevels

Alle drei Fehler betrafen die Community-Variante "checkmk raw" und deren Versionen 2.0.0, 2.1.0, 2.2.0 und 2.3.0 (beta), behoben sind sie in 2.1.0p41, 2.2.0p24, 2.3.0b4 und 2.4.0b1. Admins, die die betroffenen Plugins nutzen, sollten ein Update einplanen.

Checkmk hatte zuletzt im Januar mehrere Sicherheitslücken mit hohem Risiko behoben.

(cku)