根據(jù)最新消息，Nagios軟件中包含13個漏洞，極有可能被惡意利用，使得攻擊者可以劫持基礎設施。漏洞涵蓋了遠程代碼執(zhí)行和特權(quán)升級。

[[401552]]

完整的漏洞列表

CVE-2020-28903 – Nagios XI中的XSS漏洞，攻擊者可以控制融合服務器。

CVE-2020-28905 – Nagios Fusion可實現(xiàn)遠程代碼執(zhí)行進行身份驗證

CVE-2020-28902 –通過對cmd_subsys.php中的時區(qū)參數(shù)進行命令注入，將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28901 –通過對cmd_subsys.php中component_dir參數(shù)的命令注入，將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28904 –通過安裝惡意組件將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28900 – 通過upgrade_to_latest.sh將Nagios Fusion和XI特權(quán)從Nagios升級到root

CVE-2020-28907 – 通過upgrade_to_latest.sh將Nagios Fusion特權(quán)從apache升級到root并修改了代理配置。

CVE-2020-28906 –通過修改fusion-sys.cfg / xi-sys.cfg，將Nagios Fusion和XI特權(quán)從nagios升級到root

CVE-2020-28909 –通過修改可以作為sudo執(zhí)行的腳本，將Nagios Fusion特權(quán)從nagios升級到root

CVE-2020-28908 –通過cmd_subsys.php中的命令注入，將Nagios Fusion特權(quán)從apache升級到nagios

CVE-2020-28911 – Nagios Fusion信息泄露：低權(quán)限用戶可以發(fā)現(xiàn)用于對融合服務器進行身份驗證的密碼

CVE-2020-28648 – Nagios XI認證遠程代碼執(zhí)行

CVE-2020-28910 – Nagios XI getprofile.sh特權(quán)升級

其中，最嚴重的漏洞(CVE-2020-28648)作為一個不正確的輸入驗證漏洞，主要存在于Nagios XI的自動發(fā)現(xiàn)組件中，可以被經(jīng)過身份驗證的攻擊者用來執(zhí)行遠程代碼，該漏洞CVSS評分為8.8，影響到5.7.5之前的版本。一旦攻擊者損害了在一個客戶站點上的Nagios軟件安裝，就可以將受污染的數(shù)據(jù)發(fā)送到上游Nagios Fusion服務器，攻擊所有其他客戶。

攻擊鏈

為了更好地理解危害性，研究人員設計了一個包含漏洞利用的攻擊鏈：

• 使用RCE和特權(quán)升級，在受感染客戶站點的Nagios XI服務器上獲得根級代碼執(zhí)行
• 污染返回到Nagios Fusion的數(shù)據(jù)從而觸發(fā)XSS
• 利用觸發(fā)XSS的會話，使RCE和Priv危害Nagios Fusion服務器
• 獲得憑據(jù)并利用其余客戶站點上的 XI服務器進行攻擊

綜上所述，Nagios中發(fā)現(xiàn)的漏洞具備利用可能及危害性，此類針對開源軟件的攻擊將對目標組織產(chǎn)生巨大影響。

注：研究人員在2020年10月向Nagios報告了這些漏洞，且該公司在11月對這些漏洞進行了處理。

參考來源：securityaffairs

【責任編輯：趙寧寧 TEL：（010）68476606】