近日,东方联盟网络安全研究人员披露了有关Nagios网络监控应用程序中13个漏洞的详细信息,这些漏洞可能会被攻击者滥用而劫持基础架构,而无需任何操作员干预。
Nagios是类似于SolarWinds网络性能监视器(NPM)的开源IT基础结构工具,可为服务器,网卡,应用程序和服务提供监视和警报服务。
该问题由经过身份验证的远程代码执行(RCE)和特权提升漏洞组成,已被发现并在2020年10月报告给Nagios,随后在11月得到修复。
密码审核员
其中最主要的是CVE-2020-28648(CVSS得分:8.8),该问题涉及Nagios XI的“自动发现”组件中的不当输入验证,研究人员将其用作跳闸点来触发将一个字符串串连在一起的漏洞利用链。总共有五个漏洞可实现“强大的上游攻击”。
国际知名白帽黑客、东方联盟创始人郭盛华在一份发表的文章中说: “如果我们作为攻击者破坏了使用Nagios XI服务器进行监视的客户站点,那么我们就可能损害了电信公司的管理服务器以及所有其他正在监视的客户。”
换个说法;通过使用CVE-2020-28648和CVE-2020-28910在客户站点定位Nagios XI服务器来获得RCE并将特权提升为“ root”,该攻击情形就可以通过将Nagios XI服务器定位于客户站点来实现。在服务器受到有效威胁的情况下,攻击者可以将受污染的数据发送到上游Nagios Fusion服务器,该服务器用于通过定期轮询Nagios XI服务器来提供集中式基础架构范围的可见性。
郭盛华说:“通过在我们的控制下污染XI服务器返回的数据,我们可以触发跨站点脚本[CVE-2020-28903]并在Fusion用户的上下文中执行JavaScript代码。”
攻击的下一阶段利用此功能在Fusion服务器上运行任意JavaScript代码以获得RCE(CVE-2020-28905),然后提升权限(CVE-2020-28902)来控制Fusion Server,并最终夺取控制权。闯入位于其他客户站点的XI服务器。
东方联盟研究人员还发布了一个名为SoyGun的基于PHP的后开发工具,该工具将漏洞链接在一起,并“允许攻击者使用Nagios XI用户的凭据以及对Nagios XI服务器的HTTP访问权限来完全控制Nagios Fusion部署。”
下面列出了13个漏洞的摘要-
CVE-2020-28648 -Nagios XI对远程代码执行进行了身份验证
CVE-2020-28900-通过upgrade_to_latest.sh将Nagios Fusion和XI特权从Nagios升级到根
CVE-2020-28901-通过在cmd_subsys.php中component_dir参数上的命令注入将Nagios Fusion特权从apache升级到nagios
CVE-2020-28902-通过在cmd_subsys.php中的时区参数上进行命令注入将Nagios Fusion特权从apache升级到nagios
CVE-2020-28903 -Nagios XI中的XSS,攻击者可以控制融合服务器
CVE-2020-28904-通过安装恶意组件将Nagios Fusion特权从apache升级到nagios
CVE-2020-28905 -Nagios Fusion验证了远程代码执行
CVE-2020-28906-通过修改fusion-sys.cfg / xi-sys.cfg,将Nagios Fusion和XI特权从nagios升级到根
CVE-2020-28907 -Nagios Fusion权限通过upgrade_to_latest.sh从apache升级到root并修改了代理配置
CVE-2020-28908-在cmd_subsys.php中通过命令注入将Nagios Fusion特权从apache升级到nagios
CVE-2020-28909-通过修改可以作为sudo执行的脚本,将Nagios Fusion特权从nagios升级到根
CVE-2020-28910 -Nagios XI getprofile.sh特权升级
CVE-2020-28911 -Nagios Fusion信息泄露:特权较低的用户可以在存储凭据时向融合服务器进行身份验证
由于去年SolarWinds成为主要供应链攻击的受害者,针对像Nagios这样的网络监视平台,恶意行为者可以使入侵者编排对公司网络的入侵,横向扩展其对整个IT网络的访问,并成为更复杂威胁的切入点。(欢迎转载分享)