Checkmk — система мониторинга на основе агентов, использующая TCP-порт 6556 для сбора данных. Во время недавнего пентеста исследователи обнаружили несколько уязвимостей и архитектурных проблем, которые делают платформу привлекательной целью для злоумышленников и увеличивают риск масштабных компрометаций в корпоративных сетях.
Краткое изложение ключевых выводов
- В истории командной строки сервера Linux обнаружены учетные данные Checkmk — потенциальный путь несанкционированного доступа.
- Некоторые учетные записи доступны только через API, тогда как при попытке входа в веб-интерфейс неверные учётные данные возвращают сообщение «неправильное имя пользователя или пароль».
- Функциональность установки пакетов расширений (сервера и агента) позволяет выполнить команды на целевом сервере при недостаточной обработке прав и валидации.
- В Checkmk реализовано хранилище учетных данных для внешних систем; при получении выполнения команд на хосте Checkmk злоумышленник может извлечь эти пароли.
- В ходе тестирования из хранилища были извлечены привилегированные учетные данные платформы vSphere, что демонстрирует критический профиль риска.
- Режим распределённого мониторинга, при котором центральный сайт имеет полный контроль над удалёнными сайтами, увеличивает площадь атаки: компрометация центрального узла позволяет изменять конфигурации всех подключённых узлов.
- Функция Agent Bakery упрощает распространение обновлений через подписанные пакеты, но использование паролнозащищённого ключа при каждом обновлении создаёт потенциальную точку злоупотребления при частичном контроле над системой.
Подробности уязвимостей и их последствия
Утечка учетных данных из истории командной строки. Нахождение паролей в shell history — типичная человеческая ошибка, но в контексте Checkmk она критична: имея такие данные, атакующий может попытаться использовать их для доступа к сервисам мониторинга или к API.
Ограничения доступа через API и поведение аутентификации. Попытки использовать обнаруженные учетные данные показали, что они были действительны, но их доступ был ограничен только API. При этом при вводе неверных данных система возвращала стандартную ошибку «неправильное имя пользователя или пароль», что подтверждает наличие аутентификации, но также указывает на неоднородность прав доступа между интерфейсами.
Возможности выполнения команд через расширения. Механизмы установки расширений на сервере и агентах оказались недостаточно защищёнными: был выявлен упрощённый путь для исполнения команд на сервере Linux. Это указывает на системные недостатки в управлении привилегиями и валидацией вводимых пакетов.
Хранилище учётных данных и извлечённые привилегии. Checkmk хранит пароли для интеграций с внешними системами. Во время пентеста из этого хранилища были извлечены высокие привилегии для vSphere. В руках злоумышленника такие учётные данные позволяют перемещаться по сети, получать контроль над виртуальными машинами и инфраструктурой.
Распределённая архитектура и риск централизации. Если центральный сайт мониторинга управляет удалёнными сайтами, компрометация центрального узла даёт злоумышленнику возможность массово менять конфигурации, распространять вредоносные агенты или повреждать мониторинг по всей организации.
Agent Bakery и управление подписанными пакетами. Механизм распространения обновлений через Agent Bakery использует подписанные установочные пакеты и пароль для доступа к ключу подписи. Хотя это повышает безопасность, требование ввода пароля при каждом запуске обновления может стать уязвимостью, если атакующему удастся получить контроль над процессом обновления или над самим хостом с доступом к ключу.
Рекомендации по снижению рисков
- Немедленно удалить или защитить учётные данные из истории командной строки; внедрить политику запрещающую хранение паролей в shell history.
- Аудитировать и ограничивать доступ к API и веб-интерфейсу: использовать многофакторную аутентификацию, RBAC и минимизацию прав (least privilege).
- Ограничить сетевой доступ к TCP-порт 6556 только доверенными хостами/подсетями; внедрить сетевые ACL и межсетевые экраны для агентов мониторинга.
- Шифровать и жёстко контролировать хранилище учётных данных; обеспечить отдельный ключ шифрования и разграничение доступа к нему.
- Рассмотреть применение отдельной учётной записи и механизма доступа для Agent Bakery; защитить приватный ключ сильной паролизацией и хранением в HSM/квалифицированном хранилище секретов.
- Провести ротацию и отзыв всех потенциально скомпрометированных учётных записей, в том числе для vSphere, и внедрить регулярную ротацию секретов.
- Ограничить права центрального сайта в распределённой конфигурации, внедрить контроль версий конфигураций, аудит изменений и сегментацию доверия между сайтами.
- Провести полное кодовое и конфигурационное ревью расширений и механизмов установки пакетов; внедрить проверки целостности и валидацию входящих пакетов.
Заключение
Оценка Checkmk выявила комбинацию эксплуатационных ошибок и архитектурных особенностей, которые в сумме дают высокий риск для организаций: от утечек учётных данных до возможности масштабного управления удалёнными узлами через центр мониторинга. Комплексный подход к защите — включая технические меры, политику безопасности и аудит конфигураций — необходим для снижения возможностей злоумышленников перемещаться внутри корпоративной сети и получать привилегированный доступ к критичным системам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Checkmk под угрозой: утечки учётных данных и удалённое выполнение команд".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.