CVE-2024-47091: Privilege Escalation in Checkmk Agent
Plataforma
windows
Componente
checkmk
Corregido en
2.4.0p29
La vulnerabilidad CVE-2024-47091 es una elevación de privilegios que afecta al plugin 'mk_mysql' del agente Checkmk en sistemas Windows. Un atacante local no privilegiado puede aprovechar esta falla para ejecutar código arbitrario en el contexto del servicio del agente Checkmk, que normalmente se ejecuta con privilegios SYSTEM. Esta vulnerabilidad afecta a las versiones 2.4.0–2.4.0p29, y ha sido solucionada en la versión 2.4.0p29.
Impacto y Escenarios de Ataque
La explotación exitosa de CVE-2024-47091 permite a un atacante obtener control total sobre el sistema afectado. Al ejecutar código con privilegios SYSTEM, el atacante puede instalar malware, modificar archivos del sistema, acceder a datos confidenciales y comprometer la integridad del sistema. La necesidad de crear un servicio Windows con nombres específicos ('MySQL' o 'MariaDB') limita ligeramente la explotación, pero la facilidad de creación de servicios en Windows hace que esta vulnerabilidad sea significativa. La ejecución con SYSTEM permite un acceso completo a los recursos del sistema, facilitando el movimiento lateral a otros sistemas en la red.
Contexto de Explotación
La vulnerabilidad CVE-2024-47091 no se encuentra en KEV ni tiene una puntuación EPSS asignada. No se conocen públicamente pruebas de concepto (PoC) activas. La fecha de publicación es 2026-05-13, lo que indica que es una vulnerabilidad relativamente reciente.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2024-47091 es actualizar el agente Checkmk a la versión 2.4.0p29 o superior. Si la actualización causa problemas de compatibilidad, considere la posibilidad de revertir a una versión anterior conocida como estable, aunque esto no elimina la vulnerabilidad. Como medida complementaria, revise los permisos de los usuarios locales y limite el acceso a la creación de servicios Windows. Monitoree los registros del sistema en busca de intentos de creación de servicios sospechosos con nombres relacionados con MySQL o MariaDB. No existen firmas Sigma o YARA específicas para esta vulnerabilidad, pero la monitorización de la creación de servicios es crucial.
Cómo corregirlotraduciendo…
Actualice el agente Checkmk a la versión 2.4.0p29 o superior, 2.3.0p47 o superior, o migre desde la versión 2.2.0 (EOL) a una versión soportada. Esto mitiga la vulnerabilidad de escalada de privilegios al corregir la forma en que se manejan los plugins del agente MySQL/MariaDB.
Preguntas frecuentes
What is CVE-2024-47091 — Privilege Escalation in Checkmk Agent?
CVE-2024-47091 es una vulnerabilidad de elevación de privilegios en el agente Checkmk que permite a un usuario local no privilegiado ejecutar código arbitrario con privilegios SYSTEM en sistemas Windows.
Am I affected by CVE-2024-47091 in Checkmk Agent?
Si está utilizando Checkmk Agent en Windows en las versiones 2.4.0–2.4.0p29, es posible que esté afectado. Verifique su versión y actualice si es necesario.
How do I fix CVE-2024-47091 in Checkmk Agent?
Actualice el agente Checkmk a la versión 2.4.0p29 o superior para solucionar esta vulnerabilidad.
Is CVE-2024-47091 being actively exploited?
Actualmente no se conocen explotaciones activas de CVE-2024-47091, pero es importante aplicar la solución para mitigar el riesgo.
Where can I find the official Checkmk advisory for CVE-2024-47091?
Consulte el sitio web de Checkmk o su canal de seguridad para obtener la información oficial sobre esta vulnerabilidad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...