Kürzlich wurde eine hochriskante Sicherheitslücke in der Netzwerk-Monitoring-Software Checkmk bekannt (CVE-2025-64999). Betroffen waren mehrere Versionen vor 2.4.0p22 sowie vor 2.3.0p43. Angreifer konnten über manipulierte Logs bösartiges JavaScript in die Benutzeroberfläche von Checkmk einschleusen. Klickt ein Admin auf einen speziell präparierten Link, wird der Code ausgeführt – eine klassische Cross-Site-Scripting-Lücke (XSS). Genau hier zeigt sich, wie komplex moderne Monitoring-Tools sind und warum solche Schwachstellen trotz Updates immer wieder auftreten.
Schadcode in Checkmk-Logs
Kurz vorab: Checkmk ist eine Software zur Netzwerk- und Systemüberwachung. Unternehmen setzen sie ein, um zu sehen, ob Server, PCs, Router, Datenbanken oder Websites richtig laufen. Die Software sammelt dafür Daten („Logs“) von allen Geräten und zeigt sie in einem Webinterface an. So können IT-Admins Probleme erkennen, bevor sie zu Ausfällen führen.
Stell es dir vor wie ein Überwachungspanel für die gesamte IT-Infrastruktur.
Wenn Angreifer einen überwachten Server oder eine Datenbank manipulieren, können sie gezielt bösartigen Code in die erzeugten Logs einschleusen. Dieser Schadcode – meist JavaScript – erscheint als harmlos wirkender Logeintrag in der Checkmk-Oberfläche. Um den Admin zu einer Handlung zu bewegen, werden dabei oft Warnmeldungen oder kritische Alerts als Tarnung genutzt.
Klickt ein Admin diesen präparierten Logeintrag an, läuft der Code im Browser. Damit kann ein Angreifer:
- Login-Daten und Sitzungsinformationen stehlen (Session Hijacking)
- Aktionen im Namen des Admins ausführen (Admin-Impersonation)
- Die Konfiguration manipulieren
- Weitere Schadsoftware einschleusen
Die Angriffsmethode ist ein klassisches Beispiel für Cross-Site-Scripting (XSS).
Monitoring-Tools: Besonders anfällig für XSS
Bei Monitoring-Systemen liegt die Herausforderung darin, dass sie extrem viele externe Daten anzeigen müssen – ohne immer kontrollieren zu können, was darin steckt. Dazu gehören Statusmeldungen von Servern, Netzwerkgeräten, Containern, Skripten, Plugins, externen Checks und Remote-Monitoring-Standorten.
Der entscheidende Punkt: Ein Angreifer braucht keinen direkten Zugriff auf Checkmk selbst. Es reicht, eine dieser überwachten Datenquellen zu beeinflussen – dann gelangt der Schadcode über die Logs ins Monitoring-System.
Das Problem entsteht, weil die Software diese fremden Texte im Webinterface darstellen muss. Werden sie nicht sorgfältig bereinigt (Sanitizing), können sie HTML oder JavaScript enthalten. Stellt der Browser den Inhalt ungefiltert dar, interpretiert er den Code – das ist der klassische XSS-Fall.
Monitoring-Tools sind deshalb strukturell anfällig: Sie stellen ständig externe Daten dar, die sich nicht vollständig kontrollieren lassen. Selbst kleine Lücken reichen, wenn manipulierte Logs ins Webinterface gelangen.
Die vergangenen Vorfälle sagen nicht aus, dass Checkmk schlecht ist. Die Software erfüllt ihren Zweck – aber die Natur von Monitoring-Systemen macht solche Angriffsvektoren enorm schwer zu eliminieren.
Sicherheitslücken vs. Vorteile: Wie sicher ist Checkmk wirklich?
Trotz der wiederholten Sicherheitslücken bleibt Checkmk ein wichtiges und leistungsfähiges Tool, vor allem für grosse Netzwerke mit vielen überwachten Systemen.
Die Angriffe zeigen deutlich: Monitoring-Tools bieten naturgemäss Angriffspunkte, weil sie ständig externe Daten aus vielen Quellen verarbeiten.
Was für Checkmk spricht: Die Reaktionszeiten bei bekannt gewordenen Lücken sind kurz – das zeigten auch 2.4.0p22 und 2.3.0p43. Kritische Patches erscheinen zügig, sodass Unternehmen die Risiken kontrollieren können, ohne auf die Vorteile des Tools zu verzichten.
Für viele Organisationen überwiegt der Nutzen – solange du als Verantwortlicher aufmerksam bleibst, Updates zeitnah einspielst und deine Systeme regelmässig überwachst.