Schwere Sicherheitslücken in Splunk, checkmk und cacti entdeckt – Patches verfügbar für bedrohte Monitoringlösungen
Drei beliebte Monitoringlösungen, nämlich Splunk, checkmk und cacti, haben kürzlich Sicherheitslücken entdeckt und stellen nun Patches zur Verfügung, um diese Probleme zu beheben. Bei allen drei Produkten handelt es sich um Probleme mit mindestens hoher Gefahrenstufe.
Beginnen wir mit checkmk, einer Monitoringlösung, die gleich drei Sicherheitslücken aufweist. Diese Lücken wurden mit einer hohen CVSS-Punktzahl von 8.8 bewertet. Unter bestimmten Bedingungen war es deaktivierten Nutzern immer noch möglich, sich in der Automatisierungsumgebung von checkmk anzumelden und somit die vorhandenen Zugangsbeschränkungen zu umgehen. Die CVE-ID CVE-2023-31211 bezieht sich auf eine Sicherheitslücke, die in den Versionen 1.5.0, 1.6.0, 2.0.0, 2.1.0 und 2.2.0 der Monitoringlösung vorhanden ist. Glücklicherweise wurden diese Lücken in den Versionen 2.1.0p38, 2.2.0p18 und 2.3.0b1 behoben.
Das Plugin “codemk_tsm” zur Überwachung von Tivoli Storage Manager (TSM)-Instanzen weist eine Sicherheitslücke auf, die es Angreifern ermöglicht, Root-Privilegien auf dem Monitoring-Server zu erlangen, wenn sie Zugriff auf die überwachte TSM-Instanz haben. Dies geschieht, indem sie ein speziell präpariertes Systemkommando auf dem TSM ausführen. Diese Sicherheitslücke mit der CVE-Kennung CVE-2023-6735 betrifft auch das Plugin “codejar_signature” (CVE-2023-6740), bei dem Angreifer die Datei “codejarsigner” gegen ein schädliches Skript austauschen und es in das JAVA_HOME-Verzeichnis kopieren können. Anschließend wird das Skript mit Root-Berechtigungen ausgeführt. Diese Sicherheitslücke betrifft die Versionen 2.0.0 und älter sowie die Versionen 2.1.0 und 2.2.0 der genannten Plugins. Administratoren haben die Möglichkeit, entweder ein Update auf die Versionen 2.1.0p38, 2.2.0p18 oder 2.3.0b1 durchzuführen oder die betroffenen Plugins zu deaktivieren.
In der freien Monitoring-Software Cacti in der Version 1.2.25 wurde eine Schwachstelle in Form einer SQL-Injection entdeckt, die zu Problemen führen kann. Diese Sicherheitslücke mit der CVE-ID CVE-2023-51448 kann nur von einem angemeldeten Nutzer ausgenutzt werden. Bei der Polling-Komponente von Cacti besteht eine Schwachstelle, bei der die Variable “dbhost” aus einem HTTP-Request ohne weitere Filterung extrahiert und in ein SQL-Query eingefügt wird. Auf GitHub ist eine ausführliche Dokumentation des Fehlers mit Codebeispielen verfügbar. In Kombination mit einer weiteren Sicherheitslücke in der Linkverwaltung (CVE-2023-49084, CVSSv3.1 8.0/10) kann ein angemeldeter Nutzer von Cacti beliebigen PHP-Code ausführen und somit auch Systembefehle mit den Rechten des Webserver-Nutzers (in der Regel www-data) ausführen. Auf GitHub ist ein detailliertes Advisory mit vielen Screenshots verfügbar. Das Cacti-Projekt hatte bereits in der Vergangenheit mit schwerwiegenden Sicherheitslücken zu kämpfen, und ein ähnlicher Fehler trat auch im letzten Jahr auf und führte zur Ausführung beliebigen Codes.
Das Splunk-Team hat insgesamt vier Sicherheitshinweise für seine Produkte Splunk Enterprise Security und Splunk User Behavior Analytics (UBA) veröffentlicht. Diese Software ist von einigen schwerwiegenden Sicherheitslücken betroffen, die in den externen Paketen socket.io-parser, protobuf und Guava auftreten. Diese Lücken wurden in den UBA-Versionen unter 5.3.0 bzw. 5.2.1 gefunden. Splunk hat die Details zu diesen Sicherheitslücken in einem Sicherheitshinweis zusammengefasst. In Splunk Enterprise Security (ES) wurden ähnliche Sicherheitslücken entdeckt, die jedoch bis zur kritischen Risikostufe eskalieren können. Auch hier sind weitere Informationen in einem Sicherheitshinweis zu finden. Für zwei mittelschwere Denial-of-Service-Lücken (CVSSv3 6.5/10 bzw. 4.3/10), die im Investigations Manager verborgen sind, wurden separate CVE-IDs (CVE-2024-22164 und CVE-2024-22165) zugewiesen. Angreifer können mithilfe eines gültigen Kontos eine manipulierte Untersuchung erstellen, um den Server auf zwei verschiedene Arten lahmzulegen. Splunk Enterprise-Nutzer werden dringend dazu aufgefordert, ihre Installationen auf die aktualisierten Versionen 7.1.2, 7.2.0, 7.3.0 oder höher zu aktualisieren.
Es ist wichtig, dass Benutzer und Administratoren dieser Monitoringlösungen die bereitgestellten Patches und Updates so schnell wie möglich installieren, um ihre Systeme vor potenziellen Angriffen zu schützen. Sicherheitslücken können von Angreifern ausgenutzt werden, um auf vertrauliche Daten zuzugreifen, Schaden anzurichten oder das System lahmzulegen. Durch regelmäßige Aktualisierungen und eine umfassende Sicherheitsstrategie können solche Risiken minimiert werden.
Schlagwörter: Splunk + TSM + GitHub
Wie bewerten Sie den Schreibstil des Artikels?