Icinga 웹 모니터링 인터페이스의 취약점

게시됨 패키지의 수정 릴리스 Icinga 웹 2.6.4, 2.7.4 및 v2.8.2모니터링 시스템을 위한 웹 인터페이스를 제공합니다. 아이 싱아. 제안된 업데이트는 중요한 문제를 제거합니다. 취약점 (CVE-2020-24368)을 사용하면 인증되지 않은 공격자가 Icinga 웹 프로세스(일반적으로 http 서버 또는 fpm을 실행 중인 사용자)의 권한으로 서버의 파일에 액세스할 수 있습니다.

공격이 성공하려면 이미지나 아이콘과 함께 제공되는 타사 모듈 중 하나가 있어야 합니다. 이러한 모듈 중에는 Icinga 비즈니스 프로세스 모델링, Icinga Director,
Icinga 보고, 지도 모듈 및 지구본 모듈. 이러한 모듈 자체에는 취약점이 포함되어 있지 않지만 Icinga Web에 대한 공격을 구성할 수 있는 요소입니다.

공격은 이미지를 제공하는 핸들러에 HTTP GET 또는 POST 요청을 전송하여 수행되며, 여기에는 계정이 필요하지 않습니다. 예를 들어 Icinga Web 2를 "/icingaweb2"로 사용할 수 있고 시스템의 /usr/share/icingaweb2/modules 디렉터리에 비즈니스 프로세스 모듈이 설치되어 있는 경우 "GET /icingaweb2/static" 요청을 보내 콘텐츠를 읽을 수 있습니다. /etc/os-release 파일 /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”

출처 : opennet.ru