根据网络安全行业门户极牛网JIKENB.COM的梳理,由于Nagios被浩瀚企业中用于对核心做事器、网络设备和其他关键组件进行系统监控,这使得Nagios的安全漏洞受到浩瀚恶意黑客组织的关注。这些安全漏洞已在 8 月份发布的 Nagios XI 5.8.5、Nagios XI Switch Wizard 2.5.7、Nagios XI Docker Wizard 1.13以及 Nagios XI WatchGuard 1.4.8的更新中得到了修复。
SolarWinds和Kaseya可能成为攻击目标,不仅由于它们弘大且有影响力的客户群,还由于它们各自的技能能够访问企业网络,无论是管理 IT、运营技能 (OT) 还是物联网 (IoT)设备,针对IT和网络管理供应链的入侵如何成为一个管道妥协下贱数千名受害者。
Nagios Core 是一种盛行的开源网络监控工具,用于密切关注 IT 根本举动步伐的性能问题,并在关键任务组件涌现故障后发送警报。Nagios XI 是一个基于 Web 的专有平台,构建在 Nagios Core 之上,通过可扩展的监控和可定制的主机、做事和网络设备的高等概览,为组织供应对其 IT 运营的深入洞察。
根据网络安全行业门户极牛网JIKENB.COM的梳理,个中最紧张的问题是 Nagios XI Switch Wizard 和 Nagios XI WatchGuard Wizard 中的2个远程代码实行漏洞(CVE-2021-37344、CVE-2021-37346),Nagios XI 中的一个 SQL 注入漏洞(CVE-2021-37350),以及影响 Nagios XI Docker 引导的做事器端要求假造 (SSRF),以及 Nagios XI 的自动创造工具中的经由身份验证的 RCE。
11个安全漏洞的完全列表如下:
CVE-2021-37343(CVSS 评分:8.8)- 5.8.5 版以下的自动创造组件中的 Nagios XI 中存在路径遍历漏洞,可能会导致在运行 Nagios 的用户的安全高下文下进行后验证 RCE。CVE-2021-37344(CVSS 评分:9.8)- 2.5.7 版之前的 Nagios XI Switch Wizard 随意马虎通过对 OS 命令中利用的分外元素(OS 命令注入)中利用的分外元素的不当中和而受到远程代码实行的攻击。CVE-2021-37345(CVSS 评分:7.8)- 5.8.5 版之前的 Nagios XI 随意马虎受到本地权限提升的影响,由于 xi-sys.cfg 是从 var 目录中导入的,用于某些具有提升权限的脚本。CVE-2021-37346(CVSS 评分:9.8)- 1.4.8 版之前的 Nagios XI WatchGuard 引导随意马虎通过操作系统命令中利用的分外元素的不当中和(操作系统命令注入)进行远程代码实行。CVE-2021-37347(CVSS 评分:7.8)- 5.8.5 版之前的 Nagios XI 随意马虎受到本地权限提升的影响,由于 getprofile.sh 不会验证它作为参数吸收的目录名称。CVE-2021-37348(CVSS 评分:7.5)- 5.8.5 版之前的 Nagios XI 随意马虎通过对 index.php 中路径名的不当限定而受到本地文件包含的影响。CVE-2021-37349(CVSS 评分:7.8)- 5.8.5 版之前的 Nagios XI 随意马虎受到本地权限提升的影响,由于cleaner.php 不会清理从数据库读取的输入。CVE-2021-37350(CVSS 评分:9.8)- 由于输入清理不当,5.8.5 版之前的 Nagios XI 随意马虎受到批量修正工具中 SQL 注入漏洞的影响。CVE-2021-37351(CVSS 评分:5.3)- 5.8.5 版之前的 Nagios XI 随意马虎受到不屈安权限的影响,并许可未经身份验证的用户通过对做事器的精心设计的 HTTP 要求访问受保护的页面。CVE-2021-37352(CVSS 评分:6.1)- 5.8.5 版之前的 Nagios XI 中存在一个开放重定向漏洞,可能导致欺骗。要利用此漏洞,攻击者可以发送带有特制 URL 的链接并诱利用户单击该链接。CVE-2021-37353(CVSS 评分:9.8) – 由于 table_population.php 中的清理不当,1.1.3 版之前的 Nagios XI Docker 引导随意马虎受到 SSRF 的影响。简而言之,攻击者可以结合这些漏洞来投放 web shell 或实行 PHP 脚本并将其权限提升为 root,从而实现在 root 用户高下文中的任意命令实行。作为观点验证,Claroty 将 CVE-2021-37343 和 CVE-2021-37347 链接起来以得到 write-what-where 原语,许可攻击者将内容写入系统中的任何文件。
网络管理系统须要广泛的信赖和对网络组件的访问,以便精确监控网络行为和性能是否涌现故障和效率低下,它们还可能通过防火墙扩展到您的网络之外以处理远程做事器和连接。因此,这些集中式系统可能成为攻击者的一个很好的目标,他们可以利用这种类型的网络集线器,并试图毁坏它以访问,操纵并毁坏其他系统。
这次表露是 Nagios 自今年年初以来第二次表露近 10 项漏洞。今年 5 月初,Skylight Cyber 揭示了网络监控运用程序中的13 个安全漏洞,攻击者可能会滥用这些漏洞来挟制根本举动步伐,而无需任何操作员干预。
