Nagios 网络管理系统中已经披露了多达 11 个安全漏洞,其中一些可以被链接起来以实现具有最高权限的预认证远程代码执行,以及导致凭证盗窃和网络钓鱼攻击。
发现这些缺陷的工业网络安全公司 Claroty 表示,Nagios 等工具的缺陷使它们成为有吸引力的目标,因为它们“对企业网络中的核心服务器、设备和其他关键组件进行了监督”。这些问题已在 8 月份发布的 Nagios XI 5.8.5 或更高版本、Nagios XI Switch Wizard 2.5.7 或更高版本、Nagios XI Docker Wizard 1.13 或更高版本以及 Nagios XI WatchGuard 1.4.8 或更高版本的更新中得到修复。
![](https://images.blogchina.com/artpic_upload_v5/614b4216a9277.jpg!m1024)
Nagios Core 是一种流行的开源网络健康工具,类似于 SolarWinds Network Performance Monitor (NPM),用于密切关注 IT 基础设施的性能问题,并在关键任务组件出现故障后发送警报。Nagios XI 是一个基于 Web 的专有平台,构建在 Nagios Core 之上,通过可扩展的监控和可定制的主机、服务和网络设备的高级概览,为组织提供对其 IT 运营的深入洞察。
其中最主要的问题是 Nagios XI Switch Wizard 和 Nagios XI WatchGuard Wizard 中的两个远程代码执行漏洞(CVE-2021-37344、CVE-2021-37346),Nagios XI 中的一个 SQL 注入漏洞(CVE-2021-37350),以及影响 Nagios XI Docker 向导的服务器端请求伪造 (SSRF),以及 Nagios XI 的自动发现工具中的经过身份验证的 RCE。11个缺陷的完整列表如下:
CVE-2021-37343(CVSS 评分:8.8)- 5.8.5 版以下的自动发现组件中的 Nagios XI 中存在路径遍历漏洞,可能会导致在运行 Nagios 的用户的安全上下文下进行后验证 RCE。
CVE-2021-37344(CVSS 分数:9.8)- 2.5.7 版之前的 Nagios XI Switch Wizard 容易通过对 OS 命令中使用的特殊元素(OS 命令注入)中使用的特殊元素的不当中和而受到远程代码执行的攻击。
CVE-2021-37345(CVSS 评分:7.8)- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响,因为 xi-sys.cfg 是从 var 目录中导入的,用于某些具有提升权限的脚本。
CVE-2021-37346(CVSS 分数:9.8)- 1.4.8 版之前的 Nagios XI WatchGuard 向导容易通过操作系统命令中使用的特殊元素的不当中和(操作系统命令注入)进行远程代码执行。
CVE-2021-37347(CVSS 分数:7.8)- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响,因为 getprofile.sh 不会验证它作为参数接收的目录名称。
CVE-2021-37348(CVSS 评分:7.5)- 5.8.5 版之前的 Nagios XI 容易通过对 index.php 中路径名的不当限制而受到本地文件包含的影响。
CVE-2021-37349(CVSS 评分:7.8)- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响,因为cleaner.php 不会清理从数据库读取的输入。
CVE-2021-37350(CVSS 评分:9.8)- 由于输入清理不当,5.8.5 版之前的 Nagios XI 容易受到批量修改工具中 SQL 注入漏洞的影响。
CVE-2021-37351(CVSS 评分:5.3)- 5.8.5 版之前的 Nagios XI 容易受到不安全权限的影响,并允许未经身份验证的用户通过对服务器的精心设计的 HTTP 请求访问受保护的页面。
CVE-2021-37352(CVSS 评分:6.1)- 5.8.5 版之前的 Nagios XI 中存在一个开放重定向漏洞,可能导致欺骗。要利用此漏洞,攻击者可以发送包含特制 URL 的链接并诱使用户单击该链接。
CVE-2021-37353(CVSS 分数:9.8) - 由于 table_population.php 中的清理不当,1.1.3 版之前的 Nagios XI Docker 向导容易受到 SSRF 的影响。
简而言之,攻击者可以结合这些漏洞来投放 web shell 或执行 PHP 脚本并将其权限提升为 root,从而实现在 root 用户上下文中的任意命令执行。作为概念验证,Claroty 将 CVE-2021-37343 和 CVE-2021-37347 链接起来以获得 write-what-where 原语,允许攻击者将内容写入系统中的任何文件。
“[网络管理系统] 需要广泛的信任和对网络组件的访问,以便正确监控网络行为和性能是否出现故障和效率低下”。
知名网络安全专家、东方联盟创始人郭盛华透露:“它们还可能通过防火墙扩展到您的网络之外以处理远程服务器和连接。因此,这些集中式系统可能成为攻击者的一个很好的目标,他们可以利用这种类型的网络集线器,并试图破坏它以访问,操纵并破坏其他系统。”
此次披露是 Nagios 中第二次披露近十几个漏洞。今年 5 月初,东方联盟揭示了网络监控应用程序中的13 个安全漏洞,攻击者可能会滥用这些漏洞来劫持基础设施,而无需任何操作员干预。(欢迎转载分享)