プラットフォーム
linux
コンポーネント
checkmk
修正版
2.5.4
2.3.0p46
2.4.0p25
2.5.0b3
CVE-2025-39666 は、Checkmk 2.2.0 (EOL)、2.3.0 (2.3.0p46 より前)、2.4.0 (2.4.0p25 より前)、および 2.5.0 (ベータ版) (2.5.0b3 より前) における特権昇格の脆弱性です。サイトユーザーは、root 権限で omd 管理コマンドが実行される際に処理されるサイトコンテキスト内のファイルを操作することで、root 権限を取得する可能性があります。この脆弱性は、2.5.0b3 で修正されています。
Checkmk の CVE-2025-39666 は、サイトユーザーが root 権限を昇格させることを可能にします。これは、root ユーザーによって omd 管理コマンドが実行される際に処理されるサイトコンテキスト内のファイルを操作することで実現されます。影響を受けるバージョンには、Checkmk 2.2.0 (サポート終了)、Checkmk 2.3.0 (2.3.0p46 より前)、Checkmk 2.4.0 (2.4.0p25 より前)、および Checkmk 2.5.0 (ベータ) (2.5.0b3 より前) が含まれます。この脆弱性を悪用すると、攻撃者が Checkmk システム全体を制御し、監視対象のシステムと保存されている機密情報を危険にさらす可能性があります。
Checkmk サイトへのアクセス権を持つユーザーは、この脆弱性を悪用できます。攻撃者は、omd コマンドが root 権限で実行される際に処理されるサイトディレクトリ内の特定のファイルを操作する必要があります。悪用の複雑さは、サイト構成とユーザー権限によって異なりますが、root 権限昇格の可能性から、一般的に重大なリスクと見なされています。
Organizations using Checkmk for monitoring, particularly those with multiple site users and less restrictive file permissions, are at risk. Environments where the omd command is frequently used or accessible to a wide range of users are especially vulnerable. Legacy Checkmk installations running older, unsupported versions are also at increased risk.
• linux / server:
find /omd/sites/*/ -type f -perm -u=w -print0 | xargs -0 ls -l | grep 'site_user:'• linux / server:
journalctl -u checkmk_agent -g 'omd command' | grep -i error• linux / server:
ps aux | grep -i omddisclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVE-2025-39666 の主な軽減策は、修正を含む Checkmk のバージョンにアップグレードすることです。これには、Checkmk 2.5.0b3 以降が含まれます。直ちにアップグレードできない場合は、サイトユーザーの権限を制限して、サイトコンテキスト内の重要なファイルを変更できないようにすることをお勧めします。また、サイトファイルを定期的に確認および監査して、不正な変更がないか確認することも推奨されます。これらの対策を実施することで、悪用のリスクを大幅に軽減できます。
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad. La actualización corrige la forma en que se procesan los archivos en el contexto del sitio, evitando la escalada de privilegios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
脆弱性分析と重要アラートをメールでお届けします。
これは、このバージョンに対してはセキュリティアップデートやバグ修正が提供されなくなったことを意味します。サポートされているバージョンへの移行を強くお勧めします。
コマンドラインで checkmk --version コマンドを実行することで、Checkmk のバージョンを確認できます。
omd コマンドによって使用されるサイトディレクトリ内の構成ファイルとスクリプトが最も脆弱です。Checkmk のドキュメントには、これらのファイルに関する具体的な詳細が記載されています。
システムログの確認と最近変更されたファイルの検索を含む、包括的なセキュリティ監査をお勧めします。
影響を受けたシステムをネットワークから隔離し、セキュリティチームに通知し、組織のインシデント対応手順に従ってください。