Mobilné Správy, Gadgety, Blogy's Secenziami

Nové chyby softvéru Nagios by mohli hackerom umožniť prevziať kontrolu nad IT infraštruktúrami

Softvér Nagios

V systémoch správy siete Nagios bolo odhalených až 11 zraniteľností zabezpečenia, z ktorých niektoré bolo možné reťaziť, aby sa dosiahlo vopred overené diaľkové spustenie kódu s najvyššími oprávneniami, a tiež by mohlo dôjsť k krádeži poverení a útokom typu phishing.

Priemyselná kybernetická bezpečnostná spoločnosť Claroty, ktorá nedostatky odhalila, uviedla, že nedostatky v nástrojoch, akými sú Nagios, z nich robia atraktívny cieľ vďaka svojmu „dohľadu nad základnými servermi, zariadeniami a ďalšími kritickými komponentmi v podnikovej sieti“. Problémy boli odvtedy vyriešené v aktualizáciách vydaných v auguste s Nagios XI 5.8.5 alebo vyššie, Nagios XI Switch Čarodejník 2.5.7 alebo vyšší, Sprievodca dockerom Nagios XI 1.13 a vyššie a Nagios XI WatchGuard 1.4.8 alebo vyššie.

„SolarWinds a Kaseya boli pravdepodobne zamerané nielen kvôli svojim veľkým a vplyvným zákazníckym základniam, ale aj kvôli prístupu svojich príslušných technológií k podnikovým sieťam, či už išlo o správu IT, operačných technológií (OT) alebo internetu vecí (IoT) zariadení, “uviedol Claramov Noam Moshe v písomnej informácii zverejnenej v utorok s tým, že prieniky zamerané na dodávateľské reťazce IT a správy siete sa objavili ako prostriedok na kompromitáciu tisícov následných obetí.

Nagios Core je populárny nástroj na ochranu siete s otvoreným zdrojovým kódom, analogický k nástroju SolarWinds Network Performance Monitor (NPM), ktorý sa používa na sledovanie IT infraštruktúry v prípade problémov s výkonom a odosielanie upozornení na zlyhania najdôležitejších komponentov. Nagios XI, proprietárna webová platforma postavená na vrchole Nagios Core, poskytuje organizáciám rozšírený prehľad o ich operáciách IT so škálovateľným monitorovaním a prispôsobiteľným prehľadom na vysokej úrovni o hostiteľoch, službách a sieťových zariadeniach.

Nové chyby softvéru Nagios by mohli hackerom umožniť prevziať kontrolu nad IT infraštruktúrami 1

Hlavnými problémami sú dve chyby vzdialeného vykonávania kódu (CVE-2021-37344, CVE-2021-37346) v Nagiose XI. Switch Wizard a Nagios XI WatchGuard Wizard, zraniteľnosť voči SQL injekcii (CVE-2021-37350) v Nagios XI a falšovanie požiadaviek na strane servera (SSRF) ovplyvňujúce sprievodcu Docker Wizard Nagios XI, ako aj post-autentifikovaný RCE v Auto Nagios XI -Discovery nástroj. Kompletný zoznam 11 chýb je nasledujúci –

  • CVE-2021-37343 (Skóre CVSS: 8.8) – V verzii Nagios XI nižšej verzie existuje zraniteľnosť pri prechode cestou 5.8.5 AutoDiscovery a mohlo by to viesť k post-autentifikovanému RCE v kontexte zabezpečenia používateľa, ktorý používa Nagios.
  • CVE-2021-37344 (Skóre CVSS: 9.8) – Nagios XI Switch Sprievodca pred verziou 2.5.7 je zraniteľný voči vzdialenému vykonávaniu kódu prostredníctvom nesprávnej neutralizácie špeciálnych prvkov použitých v OS Command (injekcia OS Command).
  • CVE-2021-37345 (Skóre CVSS: 7.8) – Nagios XI pred verziou 5.8.5 je zraniteľný voči eskalácii lokálnych privilégií, pretože xi-sys.cfg sa importuje z adresára var pre niektoré skripty so zvýšenými povoleniami.
  • CVE-2021-37346 (Skóre CVSS: 9.8) – Sprievodca Nagios XI WatchGuard pred verziou 1.4.8 je zraniteľný voči vzdialenému vykonávaniu kódu v dôsledku nesprávnej neutralizácie špeciálnych prvkov použitých v príkaze OS (injekcia príkazu OS).
  • CVE-2021-37347 (Skóre CVSS: 7.8) – Nagios XI pred verziou 5.8.5 je zraniteľný voči eskalácii lokálnych privilégií, pretože getprofile.sh neoveruje názov adresára, ktorý dostane ako argument.
  • CVE-2021-37348 (Skóre CVSS: 7.5) – Nagios XI pred verziou 5.8.5 je náchylný na zahrnutie lokálneho súboru v dôsledku nesprávneho obmedzenia názvu cesty v index.php.
  • CVE-2021-37349 (Skóre CVSS: 7.8) – Nagios XI pred verziou 5.8.5 je zraniteľný voči eskalácii lokálnych privilégií, pretože cleaner.php nedezinfikuje vstup čítaný z databázy.
  • CVE-2021-37350 (Skóre CVSS: 9.8) – Nagios XI pred verziou 5.8.5 je zraniteľný voči zraniteľnosti voči vloženiu SQL v nástroji hromadných úprav kvôli nesprávnej dezinfekcii vstupu.
  • CVE-2021-37351 (Skóre CVSS: 5.3) – Nagios XI pred verziou 5.8.5 je zraniteľný voči nezabezpečeným povoleniam a umožňuje neautentizovaným užívateľom prístup na strážené stránky prostredníctvom vytvorenej požiadavky HTTP na server.
  • CVE-2021-37352 (Skóre CVSS: 6.1) – V verzii Nagios XI existuje otvorená zraniteľnosť presmerovania 5.8.5 čo by mohlo viesť k falšovaniu. Na využitie tejto chyby zabezpečenia by útočník mohol odoslať odkaz so špeciálne vytvorenou adresou URL a presvedčiť používateľa, aby na odkaz klikol.
  • CVE-2021-37353 (Skóre CVSS: 9.8) – Sprievodca dockerom Nagios XI pred verziou 1.1.3 je zraniteľný voči SSRF z dôvodu nesprávnej dezinfekcie v table_population.php

Správa podnikových hesiel

Stručne povedané, chyby by mohli útočníci skombinovať, aby zrušili webový shell alebo spustili skripty PHP a zvýšili svoje oprávnenia na root, čím sa dosiahne ľubovoľné spustenie príkazu v kontexte koreňového používateľa. Ako dôkaz koncepcie Claroty pripútal reťazce CVE-2021-37343 a CVE-2021-37347, aby získal primitív typu „kde čo napísať“, ktorý útočníkovi umožní zapísať obsah do ľubovoľného súboru v systéme.

Nové chyby softvéru Nagios by mohli hackerom umožniť prevziať kontrolu nad IT infraštruktúrami 2

“[Network management systems] vyžadovať rozsiahlu dôveru a prístup k sieťovým komponentom, aby bolo možné správne monitorovať správanie a výkon siete v prípade zlyhaní a nízkej účinnosti, “povedal Moshe.

“Môžu sa rozšíriť aj mimo vašu sieť prostredníctvom brány firewall, aby sa mohli venovať vzdialeným serverom a pripojeniam. Preto môžu byť tieto centralizované systémy chutným cieľom pre útočníkov, ktorí môžu využiť tento typ sieťového rozbočovača a pokúsiť sa ho kompromitovať, aby získali prístup k manipulovať a narušovať ostatné systémy. “

Odhalenie je druhým prípadom, kedy bol v Nagiose od začiatku roka odhalený takmer tucet zraniteľností. Začiatkom tohto mája spoločnosť Skylight Cyber ​​odhalila 13 nedostatkov zabezpečenia v aplikácii na monitorovanie siete, ktoré by mohol protivník zneužiť na prepadnutie infraštruktúry bez akéhokoľvek zásahu operátora.