የጥቅሉ ማስተካከያ ልቀቶች , ይህም ለክትትል ስርዓቱ የድር በይነገጽ ያቀርባል . የታቀዱት ዝማኔዎች ወሳኝ ነገርን ያስወግዳሉ (CVE-2020-24368)፣ ያልተረጋገጠ አጥቂ በአገልጋዩ ላይ ፋይሎችን በኢሲንጋ ድር ሂደት (አብዛኛውን ጊዜ የ http አገልጋዩ ወይም fpm የሚሰራበት) መብቶችን እንዲያገኝ ያስችለዋል።
የተሳካ ጥቃት ከምስሎች ወይም አዶዎች ጋር ከሚመጡት የሶስተኛ ወገን ሞጁሎች ውስጥ አንዱ መኖሩን ይጠይቃል። ከእንደዚህ አይነት ሞጁሎች መካከል Icinga Business Process Modeling, Icinga ዳይሬክተር,
Icinga ሪፖርት ማድረግ፣ ካርታዎች ሞዱል እና ግሎብ ሞዱል። እነዚህ ሞጁሎች እራሳቸው ተጋላጭነቶችን አያካትቱም፣ ነገር ግን በ Icinga ድር ላይ ጥቃትን ለማደራጀት የሚያስችሉ ምክንያቶች ናቸው።
ጥቃቱ የሚፈጸመው የኤችቲቲፒ GET ወይም POST ጥያቄዎችን ወደ ምስሎችን ወደሚያገለግል ተቆጣጣሪ በመላክ ነው መለያ ወደማይፈልገው። ለምሳሌ፣ Icinga Web 2 እንደ “/ icingaweb2” የሚገኝ ከሆነ እና ስርዓቱ በ/usr/share/icingaweb2/modules ማውጫ ውስጥ የተጫነ የንግድ ሂደት ሞጁል ካለው ይዘቱን ለማንበብ “GET/icingaweb2/static” የሚል ጥያቄ መላክ ይችላሉ። የ /etc/os-release ፋይል /img?module_name=businessprocess&file=../../../../../.././etc/os-መለቀቅ።
ምንጭ: opennet.ru