Yaygın olarak kullanılan açık kaynak izleme platformu olan Icinga 2’de kritik bir güvenlik açığı (CVE-2025-48057) keşfedilmiştir.
1.1.0’dan daha eski OpenSSL sürümleri ile inşa edilen kurulumları etkileyen kusur, saldırganların Icinga Sertifika İdaresi’nden (CA) geçerli sertifikalar almasına, güvenilir düğümleri taklit etmesine ve izleme ortamlarından ödün vermesine izin verebilir.
Güvenlik güncellemeleri 2.14.6, 2.13.12 ve 2.12.12 sürümlerinde yayınlanmıştır ve etkilenen sistemler için acil işlem yapılır.
.png
)
Sertifika Doğrulaması’ndan yararlanma
Bu güvenlik sorununun merkezinde yatıyor VerifyCertificate() işlev.
Savunmasız Icinga 2 yapılarında (OpenSSL <1.1.0 kullanılarak), bu işlev kötü niyetli sertifikaları geçerli olarak ele almak için kandırılabilir.
Özellikle, 1.1.0’dan önce OpenSSL sürümleri, sertifika nesnesi içinde “geçerli” bir bayrak tuttu.
Önceki bir işlem tarafından ayarlanırsa, bu bayrak kritik doğrulama adımlarının atlanmasına neden olabilir ve bu da sertifika taleplerinin yanlış doğrulanmasına neden olabilir.
Bu kusurdan yararlanan saldırganlar, mevcut bir sertifikanın yenilenmesi olarak görünen hazırlanmış bir sertifika isteği gönderebilir.
Icinga 2 ana düğümü (CA imzalama özelliği ile) TLS aracılığıyla erişilebilirse, saldırgan geçerli bir sertifika alabilir ve bu da izleme kümesinde güvenilir düğümleri taklit etmelerini sağlayabilir.
Teknik Doğrulama Komutu:
bashicinga2 --version | grep OpenSSL
Çıktı OpenSSL 1.1.0 veya daha yeni olduğunu gösterirse, kurulum etkilenmez.
Etki ve etkilenen platformlar
Bu güvenlik açığı, CVSS V4.0 puanı 9.3 ile kritik olarak derecelendirilmiştir ve gizlilik, dürüstlük ve kullanılabilirlik üzerindeki yüksek potansiyel etkisini yansıtır.
Kusur, varsayılan olarak OpenSSL 1.0.2 ile gönderilen RHEL 7 ve Amazon Linux 2 gibi platformlarda ICINGA 2 çalıştıran sistemleri etkiler.
Tablo: Etkilenen ve yamalı versiyonlar
| Destek 2 | Savunmasız (openssl <1.1.0) | Yamalı versiyon |
|---|---|---|
| ≤ 2.14.5 | Evet | 2.14.6 |
| ≤ 2.13.11 | Evet | 2.13.12 |
| ≤ 2.12.11 | Evet | 2.12.12 |
Yamalar, geçici çözümler ve öneriler
Güvenlik Düzeltmeleri
Güvenlik açığı ICinga 2 sürümleri 2.14.6, 2.13.12 ve 2.12.12’de ele alınmıştır. Bu sürümler ayrıca şunları içerir:
- İçinde kullanılmayan bir hata için bir düzeltme
VerifyCertificate()daha önce günlüklerde yanlış hata kodlarına neden olabilir. - Windows derlemeleri için OpenSSL v3.0.16 güncellemesi.
- Çeşitli küçük yapı ve dokümantasyon iyileştirmeleri.
Acil eylemler
- Güncelleme: OpenSSL 1.0.2 veya daha eski Icinga 2’yi çalıştıran kullanıcılar hemen yamalı bir sürüme yükseltmelidir.
- Erişimi kısıtlayın: Sadece güvenilir kuruluşlara sertifika imzalayabilen Icinga 2 ana düğümlerine ağ erişimini sınırlayın.
- Geçici çözüm: Master’ın yeniden adlandırarak yeni sertifikalar imzalamasını durdurun
/var/lib/icinga2/cadizin. Not: Bu, yeni düğüm kurulumlarını ve sertifika yenilemelerini durdurarak sadece kısa vadeli bir çözüm haline getirecektir.
Örnek Çözüm Komutu
bashmv /var/lib/icinga2/ca /var/lib/icinga2/ca.disabled
1.1.0’dan daha eski OpenSSL sürümleri olan ICINGA 2 kullanan kuruluşlar, sertifika bazlı kimliğe bürünme saldırıları riskli bir riskle karşı karşıyadır.
İzleme ortamlarının bütünlüğünü ve güvenliğini korumak için derhal yamalama esastır.
Tam teknik detaylar ve kaynak kodu için resmi Icinga depolarına ve tavsiyelerine danışın.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!