Podatność w Icinga 2 pozwala atakującemu na zmuszenie funkcji VerifyCertificate() do nieprawidłowego uznania złośliwego certyfikatu za prawidłowy. W efekcie atakujący może uzyskać ważny certyfikat i podszywać się pod zaufane węzły w sieci monitoringu.
▸ Pokaż oryginał (EN)
Icinga 2 is a monitoring system which checks the availability of network resources, notifies users of outages, and generates performance data for reporting. Prior to versions 2.12.12, 2.13.12, and 2.14.6, the VerifyCertificate() function can be tricked into incorrectly treating certificates as valid. This allows an attacker to send a malicious certificate request that is then treated as a renewal of an already existing certificate, resulting in the attacker obtaining a valid certificate that can be used to impersonate trusted nodes. This only occurs when Icinga 2 is built with OpenSSL older than version 1.1.0. This issue has been patched in versions 2.12.12, 2.13.12, and 2.14.6.
Funkcja VerifyCertificate() zawiera błąd (CWE-296 — nieprawidłowa weryfikacja łańcucha certyfikatów), który umożliwia potraktowanie złośliwego żądania certyfikatu jako odnowienia już istniejącego, zaufanego certyfikatu. Atakujący wysyła spreparowane żądanie certyfikatu, które przechodzi weryfikację mimo braku uprawnienia do jego wystawienia. Problem występuje wyłącznie wtedy, gdy Icinga 2 jest skompilowana z biblioteką OpenSSL w wersji starszej niż 1.1.0. Atakujący nie potrzebuje uwierzytelnienia — podatność jest dostępna zdalnie, bez żadnej interakcji użytkownika.
Atakujący uzyskuje ważny certyfikat pozwalający na podszywanie się pod zaufane węzły infrastruktury Icinga 2, co może prowadzić do przejęcia kontroli nad komunikacją między węzłami, wstrzykiwania fałszywych danych monitoringu oraz dalszego ruchu bocznego (lateral movement) w sieci.
Należy zaktualizować Icinga 2 do wersji 2.12.12, 2.13.12 lub 2.14.6, w których podatność została usunięta. Dodatkowo zaleca się upewnienie się, że Icinga 2 jest budowana i uruchamiana z OpenSSL w wersji 1.1.0 lub nowszej, co eliminuje warunek wystąpienia podatności.
Icinga 2 w wersjach przed 2.12.12, 2.13.12 oraz 2.14.6, skompilowanych z OpenSSL w wersji starszej niż 1.1.0
Podatność dotyczy wyłącznie instalacji korzystających z OpenSSL starszego niż wersja 1.1.0. Środowiska z nowszym OpenSSL nie są podatne, nawet jeśli korzystają z niezałatanej wersji Icinga 2.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XIcinga
APPIcinga< 2.12.122.13.0 – 2.13.12 (bez)2.14.0 – 2.14.6 (bez)
Powiązane podatności
Icinga 2: błędna walidacja certyfikatów TLS umożliwia podszywanie się pod węzły klastra i użytkowników API
Icinga 2 v2.8.0 through v2.11.7 and v2.12.2 has an issue where revoked certificates due for renewal will autom...
Icinga 2 is an open source monitoring system. In Icinga 2 versions 2.4 through 2.15.0, filter expressions prov...
Icinga 2 is an open source monitoring system. From 2.10.0 to before 2.15.1, 2.14.7, and 2.13.13, when creating...
Icinga Director is a tool designed to make Icinga 2 configuration handling easy. Not any of Icinga Director's ...