CRITICAL🇬🇧 English

CVE-2024-49369

Icinga 2: błędna walidacja certyfikatów TLS umożliwia podszywanie się pod węzły klastra i użytkowników API

CVSS 9.8v3.1pub. 2024-11-12upd. 2025-11-26

Podatność w systemie monitoringu Icinga 2 polega na wadliwej walidacji certyfikatów TLS, co pozwala atakującemu na podszywanie się pod zaufane węzły klastra oraz uwierzytelnionych użytkowników API. Ze względu na brak wymagań co do uprawnień i możliwość zdalnego wykorzystania, zagrożenie jest krytyczne.

Pokaż oryginał (EN)

Icinga is a monitoring system which checks the availability of network resources, notifies users of outages, and generates performance data for reporting. The TLS certificate validation in all Icinga 2 versions starting from 2.4.0 was flawed, allowing an attacker to impersonate both trusted cluster nodes as well as any API users that use TLS client certificates for authentication (ApiUser objects with the client_cn attribute set). This vulnerability has been fixed in v2.14.3, v2.13.10, v2.12.11, and v2.11.12.

🤖 Analiza AI
Jak działa

W Icinga 2, począwszy od wersji 2.4.0, mechanizm weryfikacji certyfikatów TLS (CWE-295 — improper certificate validation) był zaimplementowany wadliwie. Atakujący może przedstawić nieprawidłowy lub sfałszowany certyfikat TLS, który zostanie błędnie zaakceptowany przez system. Umożliwia to podszycie się zarówno pod zaufane węzły w klastrze Icinga, jak i pod obiekty ApiUser korzystające z certyfikatów klienckich TLS (z ustawionym atrybutem client_cn) do uwierzytelnienia w API.

Skutki

Atakujący może przejąć pełną kontrolę nad komunikacją klastra Icinga oraz uzyskać nieautoryzowany dostęp do API z uprawnieniami podszywanych użytkowników, co prowadzi do naruszenia poufności, integralności i dostępności systemu monitoringu.

Mitygacja

Należy zaktualizować Icinga 2 do wersji v2.14.3, v2.13.10, v2.12.11 lub v2.11.12 — w zależności od używanej gałęzi. Patche dostępne są w repozytorium producenta na GitHub.

Kogo dotyczy

Icinga 2 w wersjach od 2.4.0 wzwyż (przed poprawkami: v2.14.3, v2.13.10, v2.12.11, v2.11.12); dotyczy również instalacji na Debian Linux

Uwagi

Podatność dotyczy wszystkich instalacji Icinga 2 od wersji 2.4.0. Producent udostępnił poprawki dla czterech aktywnych gałęzi produktu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Debian

    OS
    Debian
    11.0
  • Icinga

    APP
    Icinga
    2.4.0 – 2.11.12 (bez)2.12.0 – 2.12.11 (bez)2.13.0 – 2.13.10 (bez)2.14.0 – 2.14.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki