The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в интерфейсе мониторинга Icinga Web

19.08.2020 22:40

Опубликованы корректирующие выпуски пакета Icinga Web 2.6.4, 2.7.4 и v2.8.2, предоставляющего web-интерфейс для системы мониторинга Icinga. В предложенных обновлениях устранена критическая уязвимость (CVE-2020-24368), позволяющая неаутентифицированному атакующему получить доступ к файлам на сервере с привилегиями процесса Icinga Web (обычно пользователь, под которыми выполняется http-сервер или fpm).

Для успешной атаки требуется наличие одного из сторонних модулей, поставляемого с изображениями или пиктограммами. Среди подобных модулей отмечаются Icinga Business Process Modeling, Icinga Director, Icinga Reporting, Maps Module и Globe Module. Сами по себе в данных модулях нет уязвимостей, но они являются факторами, позволяющими организовать атаку на Icinga Web.

Атака осуществляется через отправку запросов HTTP GET или POST к обработчику, выполняющему отдачу изображений, доступ к которому не требует наличия учётной записи. Например, если Icinga Web 2 доступен как "/icingaweb2" и в системе имеется модуль businessprocess, установленный в каталог /usr/share/icingaweb2/modules, для чтения содержимого файла /etc/os-release можно отправить запрос "GET /icingaweb2/static/img?module_name=businessprocess&file=../../../../../../../etc/os-release".

  1. Главная ссылка к новости (https://icinga.com/2020/08/19/...)
  2. OpenNews: Выпуск интерфейса мониторинга Icinga Web 2.0
  3. OpenNews: Выпуск полностью переработанной системы мониторинга Icinga 2
  4. OpenNews: Вышел Nagios Plugins 2.0, набор плагинов для систем мониторинга Nagios и Icinga
  5. OpenNews: Критические уязвимости в системе мониторинга Centreon
  6. OpenNews: Уязвимость в системе мониторинга Zabbix
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53571-icinga
Ключевые слова: icinga, monitoring
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:53, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ломайте - https://github.com/ip1981/nixsap/blob/master/pkgs/icingaweb2/sproxy.patch
     
     
  • 2.5, onanim (?), 07:02, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > $_SERVER

    падажжи, я правильно понимаю, что достаточно передать любой емейл в куке, чтобы тебя авторизовало?

     
     
  • 3.6, Аноним (1), 07:58, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Только на локалхосте и только по тисипи. Но таких админов и без этого ломать можно.

    https://github.com/ip1981/sproxy2

     

  • 1.2, terryfilch (ok), 23:02, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Мне казалось, что с 2014 года лучше коробочного мониторинга чем zabbix уже и нет. А таки динозавры живы... Ну не долго еще осталось ;)
     
     
  • 2.4, _ (??), 01:00, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прикол :) Я твой заббикс где-то тогда в последний раз и видел :) Ну может в 2015.
     
  • 2.9, Аноним (9), 11:31, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О так это вы неадекватный ерлангист.
     
  • 2.10, del (??), 11:38, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Заббикс- это эталон как не надо делать интерфейс. Настолько нелогичным его сделать- это надо постараться! Правда вроде в 5ой версии до них чета дошло и они начали двигаться в нормальную сторону.
     
     
  • 3.17, пох. (?), 23:59, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Заббикс- это эталон как не надо делать интерфейс. Настолько нелогичным его сделать-

    он вполне логичен - "ничего не доделано и не будет", если ты имеешь в виду традиционную невозможность из графика попасть в определение айтима, из триггера в аларм, из настроек хоста - к уже собранным данным по именно этому же хосту, и так далее. То есть это не потому что не хотели, а потому что просто не дошли руки (в нескольких отдельных местах такая связь все же есть). Занятые порчей графиков, потому что "хотим как в grafana, и похрен что было удобнее".
    Алогичны там разьве что настройки системы, где в одном и том же месте и "выбор темки оформления", и глобальные переменные, влияющие на абсолютно всю систему, причем догадаться что они скрыты за "темой оформления" не каждому дано.

    > это надо постараться! Правда вроде в 5ой версии до них чета
    > дошло и они начали двигаться в нормальную сторону.

    нормальная была первая. Дальше им отчетливо не хватало разработчиков, прежде всего ядра, хотя и в интерфейсе непахано, но вместо решения этой проблемы они наняли разработчика-на-игого - и он уже переписал (они ж все переписыватели и ничего не писатели) агент - правда, только под линух, не совсем работающий, и нахрен не нужный - зато, вот, смотрите - на игого!

     
     
  • 4.18, del (??), 10:22, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > всю систему, причем догадаться что они скрыты за "темой оформления" не
    > каждому дано.
    >> это надо постараться! Правда вроде в 5ой версии до них чета
    >> дошло и они начали двигаться в нормальную сторону.
    > нормальная была первая. Дальше им отчетливо не хватало разработчиков, прежде всего ядра,
    > хотя и в интерфейсе непахано, но вместо решения этой проблемы они
    > наняли разработчика-на-игого - и он уже переписал (они ж все переписыватели
    > и ничего не писатели) агент - правда, только под линух, не
    > совсем работающий, и нахрен не нужный - зато, вот, смотрите -
    > на игого!

    Я имею в в виду. Что заббикс это по сути куча несвязанных между собой систем, заправленных выпадающими списками (каким рукожопом надо быть, чтобы додуматься так сделать?!!) для выбора всего и вся (хосты, их интерфейсы, их графики и т.д.). Многие люди просто этого не видят, т.к. они поставили заббикс и не знают что может быть по другому. А я вижу, потому что изначально сидел на зенносе (с 2.5 до 4ки) и вот там то как раз интерфейс очень логичный.

     
     
  • 5.19, пох. (?), 11:35, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я имею в в виду. Что заббикс это по сути куча несвязанных между собой систем

    это всего лишь - интерфейс. Чтобы их "связать", надо тупо взять и связать - понаделав кросслинков отовсюду всюду. Это работа, а работать там некому давным-давно.

    Надо признать, что местами и временами кое-что все же связано, иногда по клику мыши открывается дополнительная менюшка, но тоже далеко не полная (типа посмотреть можно- в конфиг провалиться нельзя и т д)

    Но в целом, если бы это был единственный недостаток - я бы особо и не переживал. В конце-концов, ты тоже можешь понаделать там линков, и прислать патч. Но там "всю систему менять надо".

    В смысле, ядро ужасно чуть более чем совсем, концепция хранения истории в sql себя явно исчерпала, набор встроенных проверок не требующий костылескриптов никакой (и более чем странен) и так далее.

    Взорвать и залить бетоном на три метра.

     
  • 3.34, D (?), 00:23, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не, в 5 стало даже хуже. Убрать страницу отдельного просмотра конкретного графика- это прямо выстрел в ногу!
     
  • 2.11, пох. (?), 13:29, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Мне казалось, что с 2014 года лучше коробочного мониторинга чем zabbix уже и нет.

    ffffuck!

    Тебе не казалось, но в этом нет решительно ничего хорошего.

    P.S. напоминаю, основной бизнес-идеей жабикса теперь является вот это вот: https://www.zabbix.com/template_building_services

    судя по тому что цена поднялась ВДВОЕ за последние пол-года - спрос ПОПЁЁЁР.

    Угадай, какими мозгами снабжены те, кто за это платит.

    А последнего программиста-на-сях они уволили в прошлом году.

     
     
  • 3.13, fske (?), 14:16, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Угадай, какими мозгами снабжены те, кто за это платит.

    А какими мозгами снабжен ты, когда платишь за какаху под названием windows?

    >А последнего программиста-на-сях они уволили в прошлом году.

    Ты у них в отделе кадров работаешь, клоун ты стаканчик?

    >основной бизнес-идеей жабикса теперь является

    Только в твоём недалёком воображении

     
     
  • 4.20, пох. (?), 11:36, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > А какими мозгами снабжен ты, когда платишь за какаху под названием windows?

    кто о чем, а секта свидетелей венд0капеца - о наболевшем

     

  • 1.8, YetAnotherOnanym (ok), 08:49, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    *Вздохнув* Ох уж эти двойные точки...
     
  • 1.14, Онаним (?), 18:12, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блджаааааааааад. Опяяяяяяять.
    Ну сколько уже можно говорить, что пользовательский инпут надо валидировать всегда. Погромисты.
     
  • 1.21, Andrew (??), 12:31, 21/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Новость вроде про уязвимость в Icinga Web, споры про интерфен Zabbix...так и тянет начать отдельную ветку холивара и предложить сравнить оба продукта с Check_Mk https://checkmk.com/
     
     
  • 2.22, бублички (?), 15:44, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что тут сравнивать? яблоки с яблоками? твой checkmk как и Icinga - на каком-то этапе форки Nagios. и оба используют nagios-plugins для тестов
     
     
  • 3.23, пох. (?), 16:30, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > а что тут сравнивать? яблоки с яблоками?

    эти яблоки - урожая 1812го года. Уксус из них был бы еще ничего может, а сами по себе засохли до состояния археологических артефактов - несъедобно, неинтересно и будущего лишено.

    > твой checkmk как и Icinga - на каком-то этапе форки Nagios. и оба используют nagios-plugins для
    > тестов

    поэтому очень обожаемы админами локалхостов.

    Имеет смысл сравнивать жабикс с (другими) коммерческими продуктами, но вот беда - посмотришь на эти коммерческие протухты, и подумаешь, что, в общем-то, жабикс не так уж отвратителен как казался.

     
     
  • 4.25, Andrew (??), 23:32, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Просветите темного и несведущего админа локального хоста, чем же так интересен Zabbix и с какими коммерческими продуктами сравнивается.

    В последнее время на интервью довольно часто слышу от джунов которые ещё даже до админов локального хоста не доросли истории о том как они героически поднимали Zabbix...только ни один не смог объяснить (или честно ответить) почему выбрали его, а не что-нибудь другое.

    Предположим, на вопрос почему не мониторинг построенный на метриках - могу представить ряд вариантов ответов от обидных до вызывающих уважение пониманием целесообразности использования конкретных инструментов под конкретные цели и в конкретных ситуациях.

    Почему не тот же Icinga Web (который и правда в одном ряду с Zabbix & Check_Mk) - уже любопытнее. Здесь бы ещё вернуться к комментариям выше и вообще непонятно, как и почему даже ещё не случившиеся админы локалхоста умудряются "с детства" подсесть на Zabbix.

    Ну, а про коммерческие продукты - особенно интересно, поскольку все перечисленные продукты - в той или иной степени коммерческие и отличаются они только тем, каким образом и с каким успехом пытаются зарабатывать.

    Видимо имелись в виду какие-то закрытые решения предоставляемые в виде черного ящика без возможности кастомизации под потребности и/или с возможностью её реализовать оплатив взнос равный двум-трем месяцам работы одного разработчика который реализует ранее отсутствовавший функционал за условные несколько дней принеся владельцам продукта 1000% дохода?

     
     
  • 5.28, бублички (?), 00:35, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да брось ты, нашёл с кем дискутировать. ему всегда мерещатся корпоративные продукты высочайшего качества, без дыр и заплат, вот только назвать ни один не может. потому что все они ему приснились и в момент пограничного состояния (между сном и явью) названия несуществующих продуктов забылись, но радостное ощущение чуда (и светлая вера в их действительное существование) остались. ведь любому изветсно (кроме пох) что и Zabbix и Nagios предлагают платные решения, вот только он про них не в курсе, т.к. читать про них ему некогда. ведь размазывать здесь многокилометровые бессмыссленные сопли под любой новостью тоже призвание не для каждого. у нормальных людей есть работа и увлечения
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру