近日,网络安全研究人员披露了Nagios网络监控应用13个漏洞详情,可被攻击者滥用,无需任何操作交互即可劫持基础设施。这些漏洞包括经过身份验证的远程代码执行(RCE)和权限提升漏洞,于2020年10月被发现并报告给Nagios,随后于11月修复。Nagios是一款开源的免费网络监控工具,可以有效监控Windows、Linux和Unix主机、交换机和路由器等网络设备、打印机等网络设备的状态,当系统或服务状态异常时,通过邮件或短信报警第一时间发送通知网站运维人员,状态恢复后发送正常邮件或短信通知。Nagios网络监控应用中的13个漏洞详情如下:CVE-2020-28648-NagiosXIAuthenticatedRemoteCodeExecution,CVSS评分8.8,最严重的漏洞涉及NagiosXI的“Autodiscover”组件CVE中输入验证不当-2020-28900-通过upgrade_to_latest.sh将NagiosFusion和XI权限从Nagios升级到root;CVE-2020-28901-通过命令注入cmd_subsys.php中的component_dir参数将NagiosFusion权限从apache升级到nagios;CVE-2020-28902-NagiosFusion通过在cmd_subsys.php中的时区参数上执行命令注入Fusion权限从apache升级到nagios;CVE-2020-28903-NagiosXI中的XSS,攻击者可以控制融合服务器;CVE-2020-28904-通过安装恶意组件将NagiosFusion权限从apache升级到nagios;CVE-2020-28905-NagiosFusion验证远程代码执行;CVE-2020-28906-通过修改fusion-sys.cfg/xi-sys.cfg将NagiosFusion和XI权限从nagios升级到root;CVE-2020-28907-通过upgrade_to_latest.sh将NagiosFusion权限从apache升级到root,并修改了代理配置;CVE-2020-28908-NagiosFusion权限通过在cmd_subsys.php中注入命令从apache升级到nagios;CVE-2020-28909-可以通过修改作为sudo执行的脚本来修改,以将NagiosFusion权限从nagios升级到root;CVE-2020-28910-NagiosXIgetprofile.sh权限升级;CVE-2020-28911-NagiosFusion信息泄露:权限较低的用户在向融合服务器进行身份验证时可以存储凭据;作为完整的攻击链,如果攻击者使用NagiosXI破坏服务如果客户站点由单个服务器监控,则可能会危及公司的管理服务器和所有其他被监控的客户。例如,一家电信公司正在监控数千个站点。整个电信公司,然后使用其他所有受监控的客户站点来执行攻击。Nagios是一个类似于SolarWindsNetworkPerformanceMonitor(NPM)的开源IT基础设施工具,可为服务器、网卡、应用程序和服务提供监控和警报服务。在完整的攻击链中,利用CVE-2020-28648和CVE-2020-28910针对客户站点的NagiosXI服务器获取RCE并提升权限为“root”,这种攻击场景可以通过针对NagiosXI服务器来实现服务器在客户端实现。如果服务器受到有效破坏,攻击者可以将受污染的数据发送到上游NagiosFusion服务器,该服务器用于通过定期轮询NagiosXI服务器来提供集中式基础架构范围的可见性。“通过污染我们控制下的XI服务器返回的数据,我们可以触发跨站点脚本(CVE-2020-28903)并在Fusion用户的上下文中执行JavaScript代码,”Skylight网络研究员SamirGhanem说。下一步攻击阶段利用该特性在Fusion服务器上运行任意JavaScript代码获取RCE(CVE-2020-28905),然后提权(CVE-2020-28902)控制FusionServer,最终夺取控制权并访问XI服务器。研究人员还发布了一个名为SoyGun的基于PHP的后开发工具,它将漏洞链接在一起,并“允许攻击者使用NagiosXI用户的凭据和对NagiosXI服务器的HTTP访问来完全控制NagiosFusion。”部署。”去年,由于SolarWinds成为一次重大供应链攻击的受害者,针对像Nagios这样的网络监控平台,攻击者可以对企业网络进行编排攻击,扩展其对整个网络的访问权限,并成为攻击者的目标更复杂的攻击入口点。本文翻译自:https://thehackernews.com/2021/05/details-disclosed-on-critical-flaws.html如有转载请注明原文地址。
