Nagios網路監控應用程序中的13個漏洞可能已被黑客濫用
近日,網路安全研究人員披露了有關Nagios網路監控應用程序中13個漏洞的詳細信息,這些漏洞會形成一個完整的攻擊鏈,會被攻擊者濫用而劫持基礎架構,而無需任何操作交互。
這些漏洞是由經過身份驗證的遠程代碼執行(RCE)和許可權提升漏洞組成,已被發現並在2020年10月報告給了Nagios,隨後在11月得到修復。
Nagios是一款開源的免費網路監視工具,能有效監控Windows、Linux和Unix的主機狀態,交換機路由器等網路設備,印表機等。在系統或服務狀態異常時發出郵件或簡訊報警第一時間通知網站運維人員,在狀態恢復後發出正常的郵件或簡訊通知。
有關Nagios網路監控應用程序中13個漏洞的詳細信息如下:
CVE-2020-28648 -Nagios XI對遠程代碼執行進行了身份驗證,CVSS評分為8.8,該漏洞最嚴重涉及Nagios XI的「自動發現」組件中的不當輸入驗證,研究人員將其用作跳閘點來觸發將一個字元串串連在一起的漏洞利用鏈;
C V E - 2 0 2 0 - 2 8 9 0 0 - 通 過 u p g r a d e_to_latest.sh 將 Nagios Fusion 和XI許可權從Nagios升級到根;
CVE-2020-28901-通過在cmd_subsys.php中component_dir參數上的命令注入將Nagios Fusion許可權從apache升級到nagios;
CVE-2020-28902-通過在cmd_subsys.php中的時區參數上進行命令注入將Nagios Fusion許可權從apache升級到nagios;
CVE-2020-28903 -Nagios XI中的XSS,攻擊者可以控制融合伺服器;
CVE-2020-28904-通過安裝惡意組件將Nagios Fusion許可權從apache升級到nagios;
CVE-2020-28905 -Nagios Fusion驗證了遠程代碼執行;
CVE-2020-28906-通過修改fusion-sys.cfg / xi-sys.cfg,將Nagios Fusion和XI許可權從nagios升級到根;
CVE-2020-28907 -Nagios Fusion許可權通過upgrade_to_latest.sh從apache升級到root並修改了代理配置;
CVE-2020-28908-在cmd_subsys.php中通過命令注入將Nagios Fusion許可權從apache升級到nagios;
CVE-2020-28909-通過修改可以作為sudo執行的腳本,將Nagios Fusion許可權從nagios升級到根;
CVE-2020-28910 -Nagios XI getprofile.sh許可權升級;
CVE-2020-28911 -Nagios Fusion信息泄露:許可權較低的用戶可以在存儲憑據時向融合伺服器進行身份驗證;
作為一個完整的攻擊鏈,如果攻擊者破壞了使用Nagios XI伺服器進行監視的客戶站點,就可能損害一家公司的管理伺服器以及所有其他正在監視的客戶。
比如一家電信公司正在監視數千個站點,如果一個客戶站點受到完全破壞,則攻擊者可以利用這些漏洞來破壞整個電信公司,然後再利用其他每個受監視的客戶站點來進行攻擊。Nagios是類似於SolarWinds網路性能監視器(NPM)的開源IT基礎結構工具,可為伺服器、網卡、應用程序和服務提供監視和警報服務。
在完整的攻擊鏈中通過使用CVE-2020-28648和CVE-2020-28910在客戶站點定位Nagios XI伺服器來獲得RCE並將許可權提升為「root」,該攻擊情形就可以通過將Nagios XI伺服器定位於客戶站點來實現。在伺服器受到有效攻擊的情況下,攻擊者可以將受污染的數據發送到上游Nagios Fusion伺服器,該伺服器用於通過定期輪詢Nagios XI伺服器來提供集中式基礎架構範圍的可見性。
Skylight網路研究員Samir Ghanem說:「通過在我們的控制下污染XI伺服器返回的數據,我們可以觸發跨站點腳本(CVE-2020-28903)並在Fusion用戶的上下文中執行JavaScript代碼。」
攻擊的下一階段利用此功能在Fusion伺服器上運行任意JavaScript代碼以獲得RCE(CVE-2020-28905),隨後提升許可權(CVE-2020-28902)來控制Fusion Server,並最終奪取控制權,進入位於其他客戶站點的XI伺服器。
研究人員還發布了一個名為SoyGun的基於PHP的後期開發工具,該工具將漏洞鏈接在一起,並「允許攻擊者使用Nagios XI用戶的憑據以及對Nagios XI伺服器的HTTP訪問許可權來完全控制Nagios Fusion部署。」
去年,由於SolarWinds成為主要供應鏈攻擊的受害者,針對像Nagios這樣的網路監控平台,攻擊者可以策劃對企業網路的攻擊,橫向擴展其對整個網路的訪問,並成為更複雜攻擊的切入點。
參考及來源:https://thehackernews.com/2021/05/details-disclosed-on-critical-flaws.html
