Drei beliebte Monitoringl\u00f6sungen, n\u00e4mlich Splunk, checkmk und cacti, haben k\u00fcrzlich Sicherheitsl\u00fccken entdeckt und stellen nun Patches zur Verf\u00fcgung, um diese Probleme zu beheben. Bei allen drei Produkten handelt es sich um Probleme mit mindestens hoher Gefahrenstufe.<\/p>\n
Beginnen wir mit checkmk, einer Monitoringl\u00f6sung, die gleich drei Sicherheitsl\u00fccken aufweist. Diese L\u00fccken wurden mit einer hohen CVSS-Punktzahl von 8.8 bewertet. Unter bestimmten Bedingungen war es deaktivierten Nutzern immer noch m\u00f6glich, sich in der Automatisierungsumgebung von checkmk anzumelden und somit die vorhandenen Zugangsbeschr\u00e4nkungen zu umgehen. Die CVE-ID CVE-2023-31211 bezieht sich auf eine Sicherheitsl\u00fccke, die in den Versionen 1.5.0, 1.6.0, 2.0.0, 2.1.0 und 2.2.0 der Monitoringl\u00f6sung vorhanden ist. Gl\u00fccklicherweise wurden diese L\u00fccken in den Versionen 2.1.0p38, 2.2.0p18 und 2.3.0b1 behoben.<\/p>\n
Das Plugin „codemk_tsm“ zur \u00dcberwachung von Tivoli Storage Manager (TSM)-Instanzen weist eine Sicherheitsl\u00fccke auf, die es Angreifern erm\u00f6glicht, Root-Privilegien auf dem Monitoring-Server zu erlangen, wenn sie Zugriff auf die \u00fcberwachte TSM-Instanz haben. Dies geschieht, indem sie ein speziell pr\u00e4pariertes Systemkommando auf dem TSM ausf\u00fchren. Diese Sicherheitsl\u00fccke mit der CVE-Kennung CVE-2023-6735 betrifft auch das Plugin „codejar_signature“ (CVE-2023-6740), bei dem Angreifer die Datei „codejarsigner“ gegen ein sch\u00e4dliches Skript austauschen und es in das JAVA_HOME-Verzeichnis kopieren k\u00f6nnen. Anschlie\u00dfend wird das Skript mit Root-Berechtigungen ausgef\u00fchrt. Diese Sicherheitsl\u00fccke betrifft die Versionen 2.0.0 und \u00e4lter sowie die Versionen 2.1.0 und 2.2.0 der genannten Plugins. Administratoren haben die M\u00f6glichkeit, entweder ein Update auf die Versionen 2.1.0p38, 2.2.0p18 oder 2.3.0b1 durchzuf\u00fchren oder die betroffenen Plugins zu deaktivieren.<\/p>\n
In der freien Monitoring-Software Cacti in der Version 1.2.25 wurde eine Schwachstelle in Form einer SQL-Injection entdeckt, die zu Problemen f\u00fchren kann. Diese Sicherheitsl\u00fccke mit der CVE-ID CVE-2023-51448 kann nur von einem angemeldeten Nutzer ausgenutzt werden. Bei der Polling-Komponente von Cacti besteht eine Schwachstelle, bei der die Variable „dbhost“ aus einem HTTP-Request ohne weitere Filterung extrahiert und in ein SQL-Query eingef\u00fcgt wird. Auf GitHub ist eine ausf\u00fchrliche Dokumentation des Fehlers mit Codebeispielen verf\u00fcgbar. In Kombination mit einer weiteren Sicherheitsl\u00fccke in der Linkverwaltung (CVE-2023-49084, CVSSv3.1 8.0\/10) kann ein angemeldeter Nutzer von Cacti beliebigen PHP-Code ausf\u00fchren und somit auch Systembefehle mit den Rechten des Webserver-Nutzers (in der Regel www-data) ausf\u00fchren. Auf GitHub ist ein detailliertes Advisory mit vielen Screenshots verf\u00fcgbar. Das Cacti-Projekt hatte bereits in der Vergangenheit mit schwerwiegenden Sicherheitsl\u00fccken zu k\u00e4mpfen, und ein \u00e4hnlicher Fehler trat auch im letzten Jahr auf und f\u00fchrte zur Ausf\u00fchrung beliebigen Codes.<\/p>\n
Das Splunk-Team hat insgesamt vier Sicherheitshinweise f\u00fcr seine Produkte Splunk Enterprise Security und Splunk User Behavior Analytics (UBA) ver\u00f6ffentlicht. Diese Software ist von einigen schwerwiegenden Sicherheitsl\u00fccken betroffen, die in den externen Paketen socket.io-parser, protobuf und Guava auftreten. Diese L\u00fccken wurden in den UBA-Versionen unter 5.3.0 bzw. 5.2.1 gefunden. Splunk hat die Details zu diesen Sicherheitsl\u00fccken in einem Sicherheitshinweis zusammengefasst. In Splunk Enterprise Security (ES) wurden \u00e4hnliche Sicherheitsl\u00fccken entdeckt, die jedoch bis zur kritischen Risikostufe eskalieren k\u00f6nnen. Auch hier sind weitere Informationen in einem Sicherheitshinweis zu finden. F\u00fcr zwei mittelschwere Denial-of-Service-L\u00fccken (CVSSv3 6.5\/10 bzw. 4.3\/10), die im Investigations Manager verborgen sind, wurden separate CVE-IDs (CVE-2024-22164 und CVE-2024-22165) zugewiesen. Angreifer k\u00f6nnen mithilfe eines g\u00fcltigen Kontos eine manipulierte Untersuchung erstellen, um den Server auf zwei verschiedene Arten lahmzulegen. Splunk Enterprise-Nutzer werden dringend dazu aufgefordert, ihre Installationen auf die aktualisierten Versionen 7.1.2, 7.2.0, 7.3.0 oder h\u00f6her zu aktualisieren.<\/p>\n
Es ist wichtig, dass Benutzer und Administratoren dieser Monitoringl\u00f6sungen die bereitgestellten Patches und Updates so schnell wie m\u00f6glich installieren, um ihre Systeme vor potenziellen Angriffen zu sch\u00fctzen. Sicherheitsl\u00fccken k\u00f6nnen von Angreifern ausgenutzt werden, um auf vertrauliche Daten zuzugreifen, Schaden anzurichten oder das System lahmzulegen. Durch regelm\u00e4\u00dfige Aktualisierungen und eine umfassende Sicherheitsstrategie k\u00f6nnen solche Risiken minimiert werden.<\/p>\n
Schlagw\u00f6rter: Splunk + TSM + GitHub<\/p>\n","protected":false},"excerpt":{"rendered":"
Drei beliebte Monitoringl\u00f6sungen, n\u00e4mlich Splunk, checkmk und cacti, haben k\u00fcrzlich Sicherheitsl\u00fccken entdeckt und stellen nun Patches zur Verf\u00fcgung, um diese Probleme zu beheben. Bei allen drei Produkten handelt es sich um Probleme mit mindestens hoher Gefahrenstufe. Beginnen wir mit checkmk, einer Monitoringl\u00f6sung, die gleich drei Sicherheitsl\u00fccken aufweist. Diese L\u00fccken wurden...<\/p>\n","protected":false},"author":4,"featured_media":3124,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-3125","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3125"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3125\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/3124"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}