根據(jù)最新消息，Nagios軟件中包含13個(gè)漏洞，極有可能被惡意利用，使得攻擊者可以劫持基礎(chǔ)設(shè)施。漏洞涵蓋了遠(yuǎn)程代碼執(zhí)行和特權(quán)升級。

[[401552]]

完整的漏洞列表

CVE-2020-28903 – Nagios XI中的XSS漏洞，攻擊者可以控制融合服務(wù)器。

CVE-2020-28905 – Nagios Fusion可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行進(jìn)行身份驗(yàn)證

CVE-2020-28902 –通過對cmd_subsys.php中的時(shí)區(qū)參數(shù)進(jìn)行命令注入，將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28901 –通過對cmd_subsys.php中component_dir參數(shù)的命令注入，將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28904 –通過安裝惡意組件將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28900 – 通過upgrade_to_latest.sh將Nagios Fusion和XI特權(quán)從Nagios升級到root

CVE-2020-28907 – 通過upgrade_to_latest.sh將Nagios Fusion特權(quán)從apache升級到root并修改了代理配置。

CVE-2020-28906 –通過修改fusion-sys.cfg / xi-sys.cfg，將Nagios Fusion和XI特權(quán)從nagios升級到root

CVE-2020-28909 –通過修改可以作為sudo執(zhí)行的腳本，將Nagios Fusion特權(quán)從nagios升級到root

CVE-2020-28908 –通過cmd_subsys.php中的命令注入，將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28911 – Nagios Fusion信息泄露：低權(quán)限用戶可以發(fā)現(xiàn)用于對融合服務(wù)器進(jìn)行身份驗(yàn)證的密碼

CVE-2020-28648 – Nagios XI認(rèn)證遠(yuǎn)程代碼執(zhí)行

CVE-2020-28910 – Nagios XI getprofile.sh特權(quán)升級

其中，最嚴(yán)重的漏洞(CVE-2020-28648)作為一個(gè)不正確的輸入驗(yàn)證漏洞，主要存在于Nagios XI的自動發(fā)現(xiàn)組件中，可以被經(jīng)過身份驗(yàn)證的攻擊者用來執(zhí)行遠(yuǎn)程代碼，該漏洞CVSS評分為8.8，影響到5.7.5之前的版本。一旦攻擊者損害了在一個(gè)客戶站點(diǎn)上的Nagios軟件安裝，就可以將受污染的數(shù)據(jù)發(fā)送到上游Nagios Fusion服務(wù)器，攻擊所有其他客戶。

攻擊鏈

為了更好地理解危害性，研究人員設(shè)計(jì)了一個(gè)包含漏洞利用的攻擊鏈：

• 使用RCE和特權(quán)升級，在受感染客戶站點(diǎn)的Nagios XI服務(wù)器上獲得根級代碼執(zhí)行
• 污染返回到Nagios Fusion的數(shù)據(jù)從而觸發(fā)XSS
• 利用觸發(fā)XSS的會話，使RCE和Priv危害Nagios Fusion服務(wù)器
• 獲得憑據(jù)并利用其余客戶站點(diǎn)上的 XI服務(wù)器進(jìn)行攻擊

綜上所述，Nagios中發(fā)現(xiàn)的漏洞具備利用可能及危害性，此類針對開源軟件的攻擊將對目標(biāo)組織產(chǎn)生巨大影響。

注：研究人員在2020年10月向Nagios報(bào)告了這些漏洞，且該公司在11月對這些漏洞進(jìn)行了處理。

參考來源：securityaffairs

【責(zé)任編輯：趙寧寧 TEL：（010）68476606】