偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

IT監(jiān)控開源軟件Nagios曝13個(gè)漏洞,攻擊鏈完整

安全 漏洞
Nagios是應(yīng)用廣泛的一種免費(fèi)開源的IT 監(jiān)控軟件,一般來說,Nagios能夠監(jiān)控幾乎所有類型的組件,例如網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、系統(tǒng)指標(biāo)、應(yīng)用程序、服務(wù)、Web服務(wù)器、網(wǎng)站,中間件等。

根據(jù)最新消息,Nagios軟件中包含13個(gè)漏洞,極有可能被惡意利用,使得攻擊者可以劫持基礎(chǔ)設(shè)施。漏洞涵蓋了遠(yuǎn)程代碼執(zhí)行和特權(quán)升級。

[[401552]]

完整的漏洞列表

CVE-2020-28903 – Nagios XI中的XSS漏洞,攻擊者可以控制融合服務(wù)器。

CVE-2020-28905 – Nagios Fusion可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行進(jìn)行身份驗(yàn)證

CVE-2020-28902 –通過對cmd_subsys.php中的時(shí)區(qū)參數(shù)進(jìn)行命令注入,將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28901 –通過對cmd_subsys.php中component_dir參數(shù)的命令注入,將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28904 –通過安裝惡意組件將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28900 – 通過upgrade_to_latest.sh將Nagios Fusion和XI特權(quán)從Nagios升級到root

CVE-2020-28907 – 通過upgrade_to_latest.sh將Nagios Fusion特權(quán)從apache升級到root并修改了代理配置。

CVE-2020-28906 –通過修改fusion-sys.cfg / xi-sys.cfg,將Nagios Fusion和XI特權(quán)從nagios升級到root

CVE-2020-28909 –通過修改可以作為sudo執(zhí)行的腳本,將Nagios Fusion特權(quán)從nagios升級到root

CVE-2020-28908 –通過cmd_subsys.php中的命令注入,將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28911 – Nagios Fusion信息泄露:低權(quán)限用戶可以發(fā)現(xiàn)用于對融合服務(wù)器進(jìn)行身份驗(yàn)證的密碼

CVE-2020-28648 – Nagios XI認(rèn)證遠(yuǎn)程代碼執(zhí)行

CVE-2020-28910 – Nagios XI getprofile.sh特權(quán)升級

其中,最嚴(yán)重的漏洞(CVE-2020-28648)作為一個(gè)不正確的輸入驗(yàn)證漏洞,主要存在于Nagios XI的自動發(fā)現(xiàn)組件中,可以被經(jīng)過身份驗(yàn)證的攻擊者用來執(zhí)行遠(yuǎn)程代碼,該漏洞CVSS評分為8.8,影響到5.7.5之前的版本。一旦攻擊者損害了在一個(gè)客戶站點(diǎn)上的Nagios軟件安裝,就可以將受污染的數(shù)據(jù)發(fā)送到上游Nagios Fusion服務(wù)器,攻擊所有其他客戶。

攻擊鏈

為了更好地理解危害性,研究人員設(shè)計(jì)了一個(gè)包含漏洞利用的攻擊鏈:

  • 使用RCE和特權(quán)升級,在受感染客戶站點(diǎn)的Nagios XI服務(wù)器上獲得根級代碼執(zhí)行
  • 污染返回到Nagios Fusion的數(shù)據(jù)從而觸發(fā)XSS
  • 利用觸發(fā)XSS的會話,使RCE和Priv危害Nagios Fusion服務(wù)器
  • 獲得憑據(jù)并利用其余客戶站點(diǎn)上的 XI服務(wù)器進(jìn)行攻擊
1621910698_60ac64aa4891e11929468.png!small?1621910699071

綜上所述,Nagios中發(fā)現(xiàn)的漏洞具備利用可能及危害性,此類針對開源軟件的攻擊將對目標(biāo)組織產(chǎn)生巨大影響。

注:研究人員在2020年10月向Nagios報(bào)告了這些漏洞,且該公司在11月對這些漏洞進(jìn)行了處理。

參考來源:securityaffairs

【責(zé)任編輯:趙寧寧 TEL:(010)68476606】

 

責(zé)任編輯:趙寧寧 來源: FreeBuf
相關(guān)推薦

2023-09-21 22:34:56

2012-02-22 22:21:15

nagios開源

2025-02-12 14:27:59

2021-05-28 11:03:14

網(wǎng)絡(luò)監(jiān)控Nagios漏洞

2025-05-29 08:42:28

2017-02-08 14:20:00

2023-12-12 20:52:22

2025-02-19 10:47:18

2015-03-12 11:35:48

開源軟件Xen安全漏洞

2015-03-12 09:08:58

Xen云服務(wù)暫停開源

2011-04-14 14:08:17

2011-12-20 09:03:05

2021-07-28 22:41:43

開源軟件漏洞攻擊

2011-03-21 13:10:15

Nagios監(jiān)控

2011-03-28 16:23:23

nagios開源監(jiān)控

2025-03-06 16:38:19

2015-06-18 10:19:11

2011-03-28 16:37:38

2021-07-14 17:17:45

0day漏洞惡意代碼

2014-08-05 09:39:29

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號