Splunk, cacti, checkmk: Sicherheitslücken in Monitoring-Software

Inhaltsverzeichnis

Die Entwickler dreier Monitoringlösungen melden Sicherheitslücken und bieten Patches an. Sowohl Splunk als auch checkmk und cacti haben Software-Flicken für Sicherheitsprobleme veröffentlicht. Dabei leidet jedes Produkt unter Problemen mit mindestens hoher Gefahrenstufe.

Drei Lecks mit hohem Risiko in checkmk

Gleich drei Lücken mit hohem Schweregrad und CVSS-Punktzahl 8.8 klaffen in der Monitoringlösung checkmk:

Unter bestimmten Bedingungen konnten deaktivierte Nutzer sich trotzdem noch in der Automatisierungsumgebung von checkmk anmelden und somit die bestehenden Zugangsbeschränkungen umgehen. Die Lücke mit CVE-ID CVE-2023-31211 liegt in den Versionen 1.5.0, 1.6.0, 2.0.0, 2.1.0 und 2.2.0 vor, behoben ist sie in 2.1.0p38, 2.2.0p18 und 2.3.0b1.

Im Plugin mk_tsm, das zur Überwachung von Instanzen des Tivoli Storage Manager (TSM) gedacht ist, können Angreifer mit Zugriff auf die überwachte TSM-Instanz sich Root-Privilegien auf dem Monitoring-Server erschleichen, indem sie auf dem TSM ein speziell präpariertes Systemkommando ausführen. Die Sicherheitslücke trägt die CVE-Kennung CVE-2023-6735.

Auch mithilfe eines Fehlers im Plugin jar_signature (CVE-2023-6740) können Übeltäter sich Root-Zugriff erschleichen, indem sie die Datei jarsigner durch ein bösartiges Skript austauschen und ins JAVA_HOME-Verzeichnis kopieren. Dieses Skript wird dann mit Root-Privilegien ausgeführt.

Sowohl die Lücke im mk_tsm-, als auch im jar_signature-Plugin klafft in den Versionen 2.0.0 und älteren, aber auch den Versionen 2.1.0 und 2.2.0. Administratoren sollten entweder ein Update auf 2.1.0p38, 2.2.0p18, 2.3.0b1 durchführen oder die angreifbaren Plugins abschalten.

SQL-Injection mit Code-Ausführung in cacti

In der Version 1.2.25 der freien Monitoring-Software Cacti sorgt eine SQL-Injection-Schwachstelle für Probleme. Die Lücke mit der CVE-ID CVE-2023-51448 bekommt 8.8 CVE-Punkte und kann nur von einem angemeldeten Nutzer ausgenutzt werden. Sie findet sich in der Polling-Komponente von cacti, die die Variable $dbhost ohne weitere Filterung aus einem HTTP-Request herausfischt und in ein SQL-Query einfügt. Eine ausführliche Dokumentation des Fehlers nebst Codebeispielen findet sich auf GitHub.

Verknüpft mit einer weiteren Lücke in der Verwaltung von Links (CVE-2023-49084, CVSSv3.1 8.0/10) kann ein angemeldeter Cacti-Nutzer beliebigen PHP-Code ausführen und so auch Systembefehle mit den Rechten des Webserver-Nutzers (oft www-data) ausführen – auch hier ist ein ausführliches Advisory nebst vieler Screenshots auf GitHub zu lesen.

Das Cacti-Projekt wird seit Jahrzehnten immer wieder von schweren Sicherheitslücken geplagt, so etwa mit einem Fehler im vergangenen Jahr, der ebenfalls zu beliebiger Code-Ausführung führte.

Splunk leidet unter Lücke in externen Bibliotheken und DoS

Gleich vier Sicherheitshinweise hat das Splunk-Team für seine Produkte "Splunk Enterprise Security" und "Splunk User Behavior Analytics" (UBA) veröffentlicht.

Letztere Software ist von einigen Sicherheitslücken hoher Schwere in den externen Paketen socket.io-parser, protobuf und Guava betroffen, die mit den UBA-Versionen unter 5.3.0 respektive 5.2.1 ausgeliefert wurden. Details hat Splunk in einem Sicherheitshinweis zusammengefasst.

In Splunk Enterprise Security (ES) finden sich ähnliche Sicherheitslücken, die jedoch bis zur Risikostufe "kritisch" eskalieren. Auch hier finden sich Details in einem Sicherheitshinweis.

Eine eigene CVE-ID (CVE-2024-22164 und CVE-2024-22165) gibt es für zwei Denial-of-Service-Lücken mittleren Schweregrads (CVSSv3 6.5/10 bzw. 4.3/10), die sich im "Investigations Manager" verstecken. Angreifer, die über ein gültiges Konto verfügen, können eine präparierte Investigation anlegen und so den Server gleich auf zwei verschiedene Arten zum Stillstand bringen.

Nutzer von Splunk Enterprise sind aufgerufen, ihre Installationen auf die bereinigten Versionen 7.1.2, 7.2.0, 7.3.0 oder höher zu aktualisieren.

(cku)