Voor een succesvolle aanval is de aanwezigheid van een van de modules van derden vereist, die wordt geleverd met afbeeldingen of pictogrammen. Tot dergelijke modules behoren Icinga Business Process Modeling, Icinga Director,
Icinga-rapportage, kaartenmodule en globe-module. Deze modules bevatten zelf geen kwetsbaarheden, maar zijn factoren die het mogelijk maken een aanval op Icinga Web te organiseren.
De aanval wordt uitgevoerd door HTTP GET- of POST-verzoeken te verzenden naar een handler die afbeeldingen aanbiedt, waarvoor geen account vereist is. Als Icinga Web 2 bijvoorbeeld beschikbaar is als “/icingaweb2” en op het systeem is een bedrijfsprocesmodule geïnstalleerd in de map /usr/share/icingaweb2/modules, kunt u een verzoek sturen “GET /icingaweb2/static” om de inhoud te lezen van het bestand /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Bron: opennet.ru