Podatność w systemie monitoringu Icinga 2 polega na wadliwej walidacji certyfikatów TLS, co pozwala atakującemu na podszywanie się pod zaufane węzły klastra oraz uwierzytelnionych użytkowników API. Ze względu na brak wymagań co do uprawnień i możliwość zdalnego wykorzystania, zagrożenie jest krytyczne.
▸ Pokaż oryginał (EN)
Icinga is a monitoring system which checks the availability of network resources, notifies users of outages, and generates performance data for reporting. The TLS certificate validation in all Icinga 2 versions starting from 2.4.0 was flawed, allowing an attacker to impersonate both trusted cluster nodes as well as any API users that use TLS client certificates for authentication (ApiUser objects with the client_cn attribute set). This vulnerability has been fixed in v2.14.3, v2.13.10, v2.12.11, and v2.11.12.
W Icinga 2, począwszy od wersji 2.4.0, mechanizm weryfikacji certyfikatów TLS (CWE-295 — improper certificate validation) był zaimplementowany wadliwie. Atakujący może przedstawić nieprawidłowy lub sfałszowany certyfikat TLS, który zostanie błędnie zaakceptowany przez system. Umożliwia to podszycie się zarówno pod zaufane węzły w klastrze Icinga, jak i pod obiekty ApiUser korzystające z certyfikatów klienckich TLS (z ustawionym atrybutem client_cn) do uwierzytelnienia w API.
Atakujący może przejąć pełną kontrolę nad komunikacją klastra Icinga oraz uzyskać nieautoryzowany dostęp do API z uprawnieniami podszywanych użytkowników, co prowadzi do naruszenia poufności, integralności i dostępności systemu monitoringu.
Należy zaktualizować Icinga 2 do wersji v2.14.3, v2.13.10, v2.12.11 lub v2.11.12 — w zależności od używanej gałęzi. Patche dostępne są w repozytorium producenta na GitHub.
Icinga 2 w wersjach od 2.4.0 wzwyż (przed poprawkami: v2.14.3, v2.13.10, v2.12.11, v2.11.12); dotyczy również instalacji na Debian Linux
Podatność dotyczy wszystkich instalacji Icinga 2 od wersji 2.4.0. Producent udostępnił poprawki dla czterech aktywnych gałęzi produktu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDebian
OSDebian11.0Icinga
APPIcinga2.4.0 – 2.11.12 (bez)2.12.0 – 2.12.11 (bez)2.13.0 – 2.13.10 (bez)2.14.0 – 2.14.3 (bez)
Powiązane podatności
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki