CRITICAL🇬🇧 English

CVE-2025-48057

Icinga 2: obejście weryfikacji certyfikatu umożliwia podszywanie się pod węzły

CVSS 9.3v4.0pub. 2025-05-27upd. 2025-12-05

Podatność w Icinga 2 pozwala atakującemu na zmuszenie funkcji VerifyCertificate() do nieprawidłowego uznania złośliwego certyfikatu za prawidłowy. W efekcie atakujący może uzyskać ważny certyfikat i podszywać się pod zaufane węzły w sieci monitoringu.

Pokaż oryginał (EN)

Icinga 2 is a monitoring system which checks the availability of network resources, notifies users of outages, and generates performance data for reporting. Prior to versions 2.12.12, 2.13.12, and 2.14.6, the VerifyCertificate() function can be tricked into incorrectly treating certificates as valid. This allows an attacker to send a malicious certificate request that is then treated as a renewal of an already existing certificate, resulting in the attacker obtaining a valid certificate that can be used to impersonate trusted nodes. This only occurs when Icinga 2 is built with OpenSSL older than version 1.1.0. This issue has been patched in versions 2.12.12, 2.13.12, and 2.14.6.

🤖 Analiza AI
Jak działa

Funkcja VerifyCertificate() zawiera błąd (CWE-296 — nieprawidłowa weryfikacja łańcucha certyfikatów), który umożliwia potraktowanie złośliwego żądania certyfikatu jako odnowienia już istniejącego, zaufanego certyfikatu. Atakujący wysyła spreparowane żądanie certyfikatu, które przechodzi weryfikację mimo braku uprawnienia do jego wystawienia. Problem występuje wyłącznie wtedy, gdy Icinga 2 jest skompilowana z biblioteką OpenSSL w wersji starszej niż 1.1.0. Atakujący nie potrzebuje uwierzytelnienia — podatność jest dostępna zdalnie, bez żadnej interakcji użytkownika.

Skutki

Atakujący uzyskuje ważny certyfikat pozwalający na podszywanie się pod zaufane węzły infrastruktury Icinga 2, co może prowadzić do przejęcia kontroli nad komunikacją między węzłami, wstrzykiwania fałszywych danych monitoringu oraz dalszego ruchu bocznego (lateral movement) w sieci.

Mitygacja

Należy zaktualizować Icinga 2 do wersji 2.12.12, 2.13.12 lub 2.14.6, w których podatność została usunięta. Dodatkowo zaleca się upewnienie się, że Icinga 2 jest budowana i uruchamiana z OpenSSL w wersji 1.1.0 lub nowszej, co eliminuje warunek wystąpienia podatności.

Kogo dotyczy

Icinga 2 w wersjach przed 2.12.12, 2.13.12 oraz 2.14.6, skompilowanych z OpenSSL w wersji starszej niż 1.1.0

Uwagi

Podatność dotyczy wyłącznie instalacji korzystających z OpenSSL starszego niż wersja 1.1.0. Środowiska z nowszym OpenSSL nie są podatne, nawet jeśli korzystają z niezałatanej wersji Icinga 2.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Icinga

    APP
    Icinga
    < 2.12.122.13.0 – 2.13.12 (bez)2.14.0 – 2.14.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-49369CRITICAL9.8PL ✓ten sam produkt

Icinga 2: błędna walidacja certyfikatów TLS umożliwia podszywanie się pod węzły klastra i użytkowników API

CVE-2020-29663CRITICAL9.1ten sam produkt

Icinga 2 v2.8.0 through v2.11.7 and v2.12.2 has an issue where revoked certificates due for renewal will autom...

CVE-2025-61907HIGH7.1ten sam produkt

Icinga 2 is an open source monitoring system. In Icinga 2 versions 2.4 through 2.15.0, filter expressions prov...

CVE-2025-61908HIGH7.1ten sam produkt

Icinga 2 is an open source monitoring system. From 2.10.0 to before 2.15.1, 2.14.7, and 2.13.13, when creating...

CVE-2024-24820HIGH8.3ten sam produkt

Icinga Director is a tool designed to make Icinga 2 configuration handling easy. Not any of Icinga Director's ...