Julianbrost

**Name of the Vulnerable Software and Affected Versions** Icinga 2 versions 2.3.0 through 2.13.14 Icinga 2 versions 2.3.0 through 2.14.8 Icinga 2 versions 2.3.0 through 2.15.2 **Description** Icinga 2 is an open source monitoring system. The MSI installer did not configure appropriate permissions for the `%ProgramData%icinga2var` folder on Windows systems. This allowed all local users to read the folder's contents, including the private key of the user and synced configuration. All installations on Windows are affected. **Recommendations** Icinga 2 versions prior to 2.13.14 should be upgraded. Icinga 2 versions prior to 2.14.8 should be upgraded. Icinga 2 versions prior to 2.15.2 should be upgraded. Upgrade Icinga for Windows to at least version v1.13.4. Upgrade Icinga for Windows to at least version v1.12.4. Upgrade Icinga for Windows to at least version v1.11.2. Manually update the ACL for the folder `C:ProgramDataicinga2var` (and `C:Program FilesWindowsPowerShellmodulesicinga-powershell-frameworkcertificate`) including every sub-folder and item to restrict access for general users, only allowing the Icinga service user and administrators access.

**Name of the Vulnerable Software and Affected Versions** Icinga PowerShell Framework versions prior to 1.13.4 Icinga PowerShell Framework versions prior to 1.12.4 Icinga PowerShell Framework versions prior to 1.11.2 **Description** The Icinga PowerShell Framework allows configuration and monitoring of Windows environments. Versions prior to 1.13.4, 1.12.4, and 1.11.2 have permissions set on the `certificate` directory that grant all users read access. This exposes the private key of the Icinga certificate for the host. The affected directory is located at `C:Program FilesWindowsPowerShellmodulesicinga-powershell-frameworkcertificate`. All installations are affected. **Recommendations** Versions prior to 1.13.4: Upgrade to version 1.13.4 or later. Versions prior to 1.12.4: Upgrade to version 1.12.4 or later. Versions prior to 1.11.2: Upgrade to version 1.11.2 or later. As a workaround, restrict access to the `C:Program FilesWindowsPowerShellmodulesicinga-powershell-frameworkcertificate` directory and its subfolders, allowing only the Icinga service user and administrators access. Additionally, restrict access to the `C:ProgramDataicinga2var` directory and its subfolders to address a similar issue in Icinga 2.

**Nome do software vulnerável e versões afetadas** Versões do Icinga anteriores à 2.11.10 Versões do Icinga 2.12.0 a 2.12.4 **Descrição** O problema diz respeito à exposição de credenciais para serviços externos por meio da API a usuários autenticados da API com permissões de leitura para os tipos de objeto correspondentes. Especificamente, `IdoMysqlConnection` e `IdoPgsqlConnection` expõem a senha do usuário usada para se conectar ao banco de dados, `IcingaDB` expõe a senha usada para se conectar ao servidor Redis e `ElasticsearchWriter` expõe a senha usada para se conectar ao servidor Elasticsearch. Um invasor que obtenha essas credenciais pode se passar pelo Icinga nesses serviços e adicionar, modificar e excluir informações neles. Se credenciais com mais permissões estiverem em uso, isso aumenta o impacto proporcionalmente. **Recomendações** Para versões do Icinga anteriores à 2.11.10, atualize para a versão 2.11.10 ou posterior para resolver o problema. Para as versões do Icinga 2.12.0 a 2.12.4, atualize para a versão 2.12.5 ou posterior para resolver o problema. Como solução alternativa temporária, restrinja as permissões do usuário da API para não permitir a consulta de nenhum objeto afetado, seja listando explicitamente apenas os tipos de objeto necessários para as permissões de consulta de objetos, seja aplicando uma regra de filtro.

**Nome do software vulnerável e versões afetadas** Versões do Icinga 2.4.0 a 2.12.4 **Descrição** A vulnerabilidade diz respeito a um sistema de monitoramento que verifica a disponibilidade de recursos de rede e gera dados de desempenho. Ela pode permitir a escalada de privilégios para usuários autenticados da API. Com as credenciais de um usuário somente leitura, um invasor pode visualizar a maioria dos atributos dos objetos de configuração, incluindo o `ticket salt` do `ApiListener`. Essas informações são suficientes para calcular um ticket para cada nome comum possível, o que, juntamente com o certificado do nó mestre e um certificado autoassinado, pode ser usado para solicitar um certificado desejado do sistema. Esse certificado pode então ser usado para roubar a identidade de um endpoint ou de um usuário da API. **Recomendações** Para as versões 2.4.0 a 2.12.4, atualize para a versão 2.12.5 ou 2.11.10 para resolver o problema. Como solução alternativa temporária, considere especificar explicitamente os tipos consultáveis ou filtrar objetos ApiListener para minimizar o risco de exploração.