Monitoring-Software checkmk: Sicherheitslücke ermöglicht 2FA-Umgehung

In der IT-Monitoring-Software checkmk können Angreifer eine Schwachstelle missbrauchen, um damit die Zwei-Faktor-Authentifizierung zu umgehen. Der Hersteller hat aktualisierte Software bereitgestellt, die die Sicherheitslücke schließt.

checkmk hat einen Beitrag geschrieben, in dem die Entwickler auf die verfügbare Fehlerkorrektur hinweisen. Die RestAPI habe nicht ordentlich überprüft, ob Nutzer voll authentifiziert sind, wenn für diese eine Mehr-Faktor-Authentifizierung vorgesehen ist. Jetzt hat das Unternehmen einen CVE-Eintrag dazu veröffentlicht, CVE-2024-8606 mit einem CVSS-Wert von 9.2, was einer Risikobewertung "kritisch" entspricht; checkmk nutzt in seiner Meldung lediglich die Umschreibung "hoch" dafür, abweichend von der CVSS-Vorgabe zur Einstufung. Laut der Beschreibung müssen Angreifer authentifiziert sein – mutmaßlich mit Nutzernamen und Passwort – und können den zweiten Faktor zur Bestätigung umgehen.

Kritische Sicherheitslücke: Updates stehen bereit

Betroffen sind die checkmk-Versionen 2.2.0 und 2.3.0. Die Entwickler haben die Fehlerursache in Checkmk Raw (CRE), Checkmk Enterprise (CEE), Checkmk Cloud (CCE) und Checkmk MSP (CME) 2.2.0p34, 2.3.0p16 sowie in 2.4.0b1 beseitigt.

Die Updates stehen der Meldung zufolge bereits seit dem 9. September zur Verfügung. Die Schwachstellenmeldung mit CVE-Eintrag erfolgte jedoch erst jetzt. IT-Verantwortliche sollten die Aktualisierung umgehend anstoßen, da das damit geschlossene Sicherheitsleck als kritisch gilt. Die Lücke wurde bei internen Code-Reviews gefunden, schreibt checkmk, also nicht etwa aufgrund externer oder öffentlicher Hinweise.

Lesen Sie auch

IT-Monitoring: Checkmk schließt Lücke, die Änderung von Dateien ermöglicht

Ende Mai hatte checkmk ebenfalls Sicherheitslücken in der Netzwerküberwachungssoftware mit Aktualisierungen geschlossen. Angreifer hatten da unbefugt lokale Dateien auf checkmk-Servern lesen und schreiben können.

(dmk)