IT監(jiān)控開源軟件Nagios曝13個(gè)漏洞,攻擊鏈完整
根據(jù)最新消息,Nagios軟件中包含13個(gè)漏洞,極有可能被惡意利用,使得攻擊者可以劫持基礎(chǔ)設(shè)施。漏洞涵蓋了遠(yuǎn)程代碼執(zhí)行和特權(quán)升級。
完整的漏洞列表
CVE-2020-28903 – Nagios XI中的XSS漏洞,攻擊者可以控制融合服務(wù)器。
CVE-2020-28905 – Nagios Fusion可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行進(jìn)行身份驗(yàn)證
CVE-2020-28902 –通過對cmd_subsys.php中的時(shí)區(qū)參數(shù)進(jìn)行命令注入,將Nagios Fusion特權(quán)從apache升級到nagios
CVE-2020-28901 –通過對cmd_subsys.php中component_dir參數(shù)的命令注入,將Nagios Fusion特權(quán)從apache升級到nagios
CVE-2020-28904 –通過安裝惡意組件將Nagios Fusion特權(quán)從apache升級到nagios
CVE-2020-28900 – 通過upgrade_to_latest.sh將Nagios Fusion和XI特權(quán)從Nagios升級到root
CVE-2020-28907 – 通過upgrade_to_latest.sh將Nagios Fusion特權(quán)從apache升級到root并修改了代理配置。
CVE-2020-28906 –通過修改fusion-sys.cfg / xi-sys.cfg,將Nagios Fusion和XI特權(quán)從nagios升級到root
CVE-2020-28909 –通過修改可以作為sudo執(zhí)行的腳本,將Nagios Fusion特權(quán)從nagios升級到root
CVE-2020-28908 –通過cmd_subsys.php中的命令注入,將Nagios Fusion特權(quán)從apache升級到nagios
CVE-2020-28911 – Nagios Fusion信息泄露:低權(quán)限用戶可以發(fā)現(xiàn)用于對融合服務(wù)器進(jìn)行身份驗(yàn)證的密碼
CVE-2020-28648 – Nagios XI認(rèn)證遠(yuǎn)程代碼執(zhí)行
CVE-2020-28910 – Nagios XI getprofile.sh特權(quán)升級
其中,最嚴(yán)重的漏洞(CVE-2020-28648)作為一個(gè)不正確的輸入驗(yàn)證漏洞,主要存在于Nagios XI的自動發(fā)現(xiàn)組件中,可以被經(jīng)過身份驗(yàn)證的攻擊者用來執(zhí)行遠(yuǎn)程代碼,該漏洞CVSS評分為8.8,影響到5.7.5之前的版本。一旦攻擊者損害了在一個(gè)客戶站點(diǎn)上的Nagios軟件安裝,就可以將受污染的數(shù)據(jù)發(fā)送到上游Nagios Fusion服務(wù)器,攻擊所有其他客戶。
攻擊鏈
為了更好地理解危害性,研究人員設(shè)計(jì)了一個(gè)包含漏洞利用的攻擊鏈:
- 使用RCE和特權(quán)升級,在受感染客戶站點(diǎn)的Nagios XI服務(wù)器上獲得根級代碼執(zhí)行
- 污染返回到Nagios Fusion的數(shù)據(jù)從而觸發(fā)XSS
- 利用觸發(fā)XSS的會話,使RCE和Priv危害Nagios Fusion服務(wù)器
- 獲得憑據(jù)并利用其余客戶站點(diǎn)上的 XI服務(wù)器進(jìn)行攻擊

綜上所述,Nagios中發(fā)現(xiàn)的漏洞具備利用可能及危害性,此類針對開源軟件的攻擊將對目標(biāo)組織產(chǎn)生巨大影響。
注:研究人員在2020年10月向Nagios報(bào)告了這些漏洞,且該公司在11月對這些漏洞進(jìn)行了處理。
參考來源:securityaffairs
【責(zé)任編輯:趙寧寧 TEL:(010)68476606】