Icinga — это система мониторинга, которая проверяет доступность сетевых ресурсов, уведомляет пользователей о перебоях в работе и генерирует…

Icinga — это система мониторинга, которая проверяет доступность сетевых ресурсов, уведомляет пользователей о перебоях в работе и генерирует данные о производительности для составления отчетов. В версиях до 2.11.10 и с 2.12.0 по 2.12.4 некоторые функции Icinga 2, требующие учетных данных для внешних служб, предоставляют эти учетные данные через API аутентифицированным пользователям API с разрешениями на чтение для соответствующих типов объектов. IdoMysqlConnection и IdoPgsqlConnection (каждая выпущенная версия) предоставляет пароль пользователя, используемого для подключения к базе данных. IcingaDB (добавлено в 2.12.0) предоставляет пароль, используемый для подключения к серверу Redis. ElasticsearchWriter (добавлено в 2.8.0) предоставляет пароль, используемый для подключения к серверу Elasticsearch. Злоумышленник, получивший эти учетные данные, может выдавать себя за Icinga для этих служб и добавлять, изменять и удалять там информацию. Если используются учетные данные с большими разрешениями, это соответственно увеличивает воздействие. Начиная с выпусков 2.11.10 и 2.12.5 эти пароли больше не предоставляются через API. В качестве обходного пути разрешения пользователя API можно ограничить, чтобы не разрешать запросы к каким-либо затронутым объектам, либо явно перечислив только необходимые типы объектов для разрешений запроса объектов, либо применив правило фильтрации.