Check_MK-Schwachstelle – Die LSE Leading Security Experts GmbH (LSE) entdeckte während eines Whitebox-Security-Reviews eine kritische Schwachstelle in Check_MK. Zur Schwachstelle ist ein Security Advisory der LSE unter https://www.lsexperts.de/security-advisory/items/schwachstelle-in-check_mk-agent.html verfügbar. Die Schwachstelle hat die CVE-ID „CVE-2014-0243“. Der Hersteller wurde entsprechend informiert und am 26.05.2014 ist dazu ein offizielles Update bereitgestellt worden, um die Lücke zu schließen.
Die LSE IT-Sicherheits-Experten Markus Vervier und Sascha Kettler fanden heraus, dass es durch lokales Anlegen von Dateisystem-Links auf einem Linux-System möglich ist, durch den Check_MK-Agent beliebige Dateien mit den Berechtigungen des Nutzers "root" über das Netzwerk auszulesen. So könnte ein unprivilegierter Nutzer beispielsweise die Datei "/etc/shadow" oder auch private SSH-Schlüssel lesen.
Bei Check_MK handelt es sich um eine verbreitete Erweiterung für Nagios und Icinga. Hiermit werden entsprechende Netzwerkmonitoring-Lösungen betrieben. Insofern hat die aufgefundene Schwachstelle innerhalb eines betroffenen Netzwerks mitunter eine große Reichweite und ein sehr hohes technisches Bedrohungspotential. Deshalb rät die LSE Leading Security Experts GmbH zu sofortigen Gegenmaßnahmen, durch das Einspielen des genannten Updates oder – im Sinne einer Sofortmaßnahme – das Ändern der Schreibberechtigungen für das betroffene Verzeichnis auf „755“, wie im Security Advisory ausgeführt.
Die LSE IT-Sicherheits-Experten Markus Vervier und Sascha Kettler fanden heraus, dass es durch lokales Anlegen von Dateisystem-Links auf einem Linux-System möglich ist, durch den Check_MK-Agent beliebige Dateien mit den Berechtigungen des Nutzers "root" über das Netzwerk auszulesen. So könnte ein unprivilegierter Nutzer beispielsweise die Datei "/etc/shadow" oder auch private SSH-Schlüssel lesen.
Bei Check_MK handelt es sich um eine verbreitete Erweiterung für Nagios und Icinga. Hiermit werden entsprechende Netzwerkmonitoring-Lösungen betrieben. Insofern hat die aufgefundene Schwachstelle innerhalb eines betroffenen Netzwerks mitunter eine große Reichweite und ein sehr hohes technisches Bedrohungspotential. Deshalb rät die LSE Leading Security Experts GmbH zu sofortigen Gegenmaßnahmen, durch das Einspielen des genannten Updates oder – im Sinne einer Sofortmaßnahme – das Ändern der Schreibberechtigungen für das betroffene Verzeichnis auf „755“, wie im Security Advisory ausgeführt.
