Уязвимост в интерфейса за наблюдение на Icinga Web

Публикувано коригиращи версии на пакета Icinga Web 2.6.4, 2.7.4 и v2.8.2, който предоставя уеб интерфейс за системата за мониторинг Icinga. Предложените актуализации елиминират критичен уязвимост (CVE-2020-24368), позволява на неупълномощен нападател да получи достъп до файлове на сървъра с привилегиите на Icinga Web процеса (обикновено потребителят, под който се изпълнява http сървърът или fpm).

Успешната атака изисква наличието на един от модулите на трети страни, който се доставя с изображения или икони. Сред тези модули са Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, модул Maps и модул Globe. Тези модули сами по себе си не съдържат уязвимости, но те са фактори, които позволяват организирането на атака срещу Icinga Web.

Атаката се извършва чрез изпращане на HTTP GET или POST заявки към манипулатор, който обслужва изображения, достъпът до които не изисква акаунт. Например, ако Icinga Web 2 е наличен като „/icingaweb2“ и системата има модул за бизнес процеси, инсталиран в директорията /usr/share/icingaweb2/modules, можете да изпратите заявка „GET /icingaweb2/static“, за да прочетете съдържанието на файла /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.“

Източник: opennet.ru