Platform
linux
Component
checkmk
Opgelost in
2.5.4
2.3.0p46
2.4.0p25
2.5.0b3
CVE-2025-39666 is een privilege escalatie kwetsbaarheid die is ontdekt in Checkmk. Deze kwetsbaarheid stelt een site gebruiker in staat om hun privileges te verhogen naar root, door bestanden te manipuleren die worden verwerkt wanneer de omd administratieve commando wordt uitgevoerd door root. De kwetsbaarheid treft Checkmk versies 2.2.0 (EOL), 2.3.0 voor 2.3.0p46, 2.4.0 voor 2.4.0p25 en 2.5.0 (beta) voor 2.5.0b3. Een update naar versie 2.5.0b3 is beschikbaar om deze kwetsbaarheid te verhelpen.
CVE-2025-39666 in Checkmk stelt een sitegebruiker in staat om zijn privileges te escaleren naar root. Dit wordt bereikt door bestanden binnen de sitecontext te manipuleren die worden verwerkt wanneer de administratieve opdracht omd door root wordt uitgevoerd. Betrokken versies zijn Checkmk 2.2.0 (End of Life), Checkmk 2.3.0 vóór 2.3.0p46, Checkmk 2.4.0 vóór 2.4.0p25 en Checkmk 2.5.0 (beta) vóór 2.5.0b3. Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen de volledige controle over het Checkmk-systeem over te nemen, de beveiliging van de gemonitorde systemen en opgeslagen gevoelige informatie in gevaar te brengen.
Een gebruiker met toegang tot de Checkmk-site kan deze kwetsbaarheid exploiteren. De aanvaller moet specifieke bestanden binnen de sitedirectory manipuleren die worden verwerkt door de omd-opdracht wanneer deze wordt uitgevoerd met root-privileges. De complexiteit van de exploitatie hangt af van de siteconfiguratie en de gebruikersrechten, maar wordt over het algemeen beschouwd als een aanzienlijk risico vanwege de mogelijkheid om root-privileges te escaleren.
Organizations using Checkmk for monitoring, particularly those with multiple site users and less restrictive file permissions, are at risk. Environments where the omd command is frequently used or accessible to a wide range of users are especially vulnerable. Legacy Checkmk installations running older, unsupported versions are also at increased risk.
• linux / server:
find /omd/sites/*/ -type f -perm -u=w -print0 | xargs -0 ls -l | grep 'site_user:'• linux / server:
journalctl -u checkmk_agent -g 'omd command' | grep -i error• linux / server:
ps aux | grep -i omddisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-39666 is het upgraden naar een versie van Checkmk die de correctie bevat. Dit omvat Checkmk 2.5.0b3 of hoger. Als een onmiddellijke upgrade niet mogelijk is, wordt aanbevolen om de machtigingen van sitegebruikers te beperken om te voorkomen dat ze kritieke bestanden binnen de sitecontext wijzigen. Het is ook raadzaam om sitebestanden regelmatig te controleren en te auditeren op ongeautoriseerde wijzigingen. De implementatie van deze maatregelen zal het risico op exploitatie aanzienlijk verminderen.
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad. La actualización corrige la forma en que se procesan los archivos en el contexto del sitio, evitando la escalada de privilegios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit betekent dat Checkmk geen beveiligingsupdates of bugfixes meer ontvangt voor deze versie. Het wordt ten zeerste aanbevolen om te migreren naar een ondersteunde versie.
U kunt uw Checkmk-versie controleren door de opdracht checkmk --version in de opdrachtregel uit te voeren.
Configuratiebestanden en scripts binnen de sitedirectory die worden gebruikt door de omd-opdracht zijn het meest kwetsbaar. De Checkmk-documentatie geeft specifieke details over deze bestanden.
Het wordt aanbevolen om een uitgebreid beveiligingsaudit uit te voeren, inclusief het controleren van systeemlogboeken en het zoeken naar recent gewijzigde bestanden.
Isoleer het getroffen systeem van het netwerk, informeer uw beveiligingsteam en volg de incident response procedures van uw organisatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.