Nagios网络管理系统中已披露多达11个安全漏洞,其中一些可以被链接起来以实现具有最高权限的预认证远程代码执行,以及导致凭证盗窃和网络钓鱼攻击。数据显示,90%以上的网络安全问题由软件自身安全漏洞被利用导致,可以看出安全漏洞对网络危害之重。在软件开发期间通过静态代码检测技术可以及时发现缺陷问题,提高代码质量的同时减少软件漏洞和被利用的风险。
发现这些漏洞的工业网络安全公司Claroty表示,Nagios等工具的缺陷使它们成为一个有吸引力的目标,因为它们“对企业网络中的核心服务器、设备和其他关键组件进行了监督”。
这些问题已在8月份发布的Nagios XI 5.8.5 或更高版本、Nagios XI Switch Wizard 2.5.7 或更高版本、Nagios XI Docker Wizard 1.13或更高版本以及Nagios XI WatchGuard 1.4.8 或更高版本的更新中得到修复,建议没进行更新的人员尽快更新。
“ SolarWinds和Kaseya可能成为攻击目标,不仅因为它们庞大且有影响力的客户群,还因为它们各自的技术能够访问企业网络,无论是管理 IT、运营技术 (OT) 还是物联网 (IoT)设备,” Claroty的安全人员表示。
Nagios Core 是一种流行的开源网络运行状况管理工具,类似于SolarWinds Network Performance Monitor (NPM),用于密切关注 IT 基础设施的性能问题,并在关键任务组件出现故障后发送警报。
Nagios XI是一个基于 Web 的专有平台,构建在Nagios Core之上,通过可扩展的监控和可定制的主机、服务和网络设备的高级概述,为企业提供对其IT运营的深入了解。
其中最主要的问题是 Nagios XI Switch Wizard 和 Nagios XI WatchGuard Wizard 中的两个远程代码执行漏洞(CVE-2021-37344、CVE-2021-37346);
Nagios XI中的一个SQL注入漏洞(CVE-2021-37350);
影响Nagios XI Docker 向导的服务器端请求伪造 (SSRF);
以及Nagios XI的自动发现工具中的经过身份验证的RCE。
11个缺陷的完整列表如下:
CVE-2021-37343(CVSS 评分:8.8)- 5.8.5 版以下的自动发现组件中的 Nagios XI 中存在路径遍历漏洞,可能会导致在运行Nagios的用户的安全上下文下进行后验证RCE。
CVE-2021-37344(CVSS 分数:9.8)- 2.5.7 版之前的 Nagios XI Switch Wizard 容易受到远程代码执行的攻击,这种攻击会通过不恰当的中和操作系统命令中使用的特殊元素(操作系统命令注入)。
CVE-2021-37345(CVSS 评分:7.8)- 5.8.5 版之前的Nagios XI容易受到本地权限提升的影响,因为 xi-sys.cfg 是从 var 目录中导入的,用于某些具有提升权限的脚本。
CVE-2021-37346(CVSS 分数:9.8)- 1.4.8 版之前的 Nagios XI WatchGuard容易受到远程代码执行的攻击,原因是OS命令中使用的特殊元素被不当中和(OS Command injection)。
CVE-2021-37347(CVSS 分数:7.8)- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响,因为 getprofile.sh 不会验证它作为参数接收的目录名称。
CVE-2021-37348(CVSS 评分:7.5)- 5.8.5 版之前的 Nagios XI 容易通过对 index.php 中路径名的不当限制而受到本地文件包含的影响。
CVE-2021-37349(CVSS 评分:7.8)- 5.8.5 版之前的 Nagios XI容易受到本地权限提升的影响,因为cleaner.php不会清理从数据库读取的输入。
CVE-2021-37350(CVSS 评分:9.8)- 由于输入清理不当,5.8.5 版之前的 Nagios XI 容易受到批量修改工具中 SQL 注入漏洞的影响。
CVE-2021-37351(CVSS 评分:5.3)- 5.8.5 版之前的 Nagios XI 容易受到不安全权限的攻击,并允许未经身份验证的用户通过对服务器的精心设计的 HTTP 请求访问受保护的页面。
CVE-2021-37352(CVSS 评分:6.1)- 5.8.5 版之前的 Nagios XI 中存在一个开放重定向漏洞,可能导致欺骗。要利用此漏洞,攻击者可以发送带有特制 URL 的链接并诱使用户单击该链接。
CVE-2021-37353(CVSS 分数:9.8) - 由于 table_population.php 中的清理不当,1.1.3 版之前的 Nagios XI Docker Wizard容易受到SSRF的影响。
简而言之,攻击者可以结合这些漏洞来投放 web shell 或执行 PHP 脚本,并将其权限提升为 root,从而在root用户的上下文中实现任意命令执行。作为概念验证,Claroty将 CVE-2021-37343 和 CVE-2021-37347 链接起来以获得 write-what-where 原语,允许攻击者将内容写入系统中的任何文件。
“[网络管理系统] 需要广泛的信任和对网络组件的访问,以便正确监控网络行为和性能是否出现故障和效率低下,”Moshe 称。
“它们还可能通过防火墙扩展到网络之外以处理远程服务器和连接。因此,这些集中式系统可能成为攻击者的一个很好的目标,他们可以利用这种类型的网络集线器,并试图破坏它以访问,操纵并破坏其他系统。”
这是Nagios中第二次披露十几个漏洞。今年5月早些时候,Skylight Cyber披露了网络监控应用程序中的13个安全漏洞,这些漏洞可能被攻击者滥用,在没有任何运营商干预的情况下劫持基础设施。
安全漏洞为网络系统遭到攻击提供了广泛的攻击面,尤其在第三方服务的软件中存在漏洞,将会带来软件供应链安全风险。减少安全漏洞,提高软件自身安全,已经成为杀毒软件、防火墙等传统防御手段之外的重要网络安全防护方式。尤其在OWASP TOP 10安全漏洞中,60-70%的安全漏洞类型均可通过源代码静态分析技术检测出来,因此在软件开发期间,不断用静态代码检测工具查找代码缺陷及安全漏洞,提高代码质量,可以有效降低企业遭到网络攻击的风险。 Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
