Podrobnosti zverejnené o kritických chybách ovplyvňujúcich softvér na monitorovanie IT Nagios

Výskumníci v oblasti kybernetickej bezpečnosti zverejnili podrobnosti o 13 zraniteľných miestach v aplikácii na monitorovanie siete Nagios, ktoré by mohol protivník zneužiť na napadnutie infraštruktúry bez zásahu operátora.

„V prostredí telco, kde telco monitoruje tisíce stránok, ak je stránka zákazníka úplne ohrozená, útočník môže využiť zraniteľné miesta na kompromitáciu telco a potom každej ďalšej monitorovanej stránky zákazníka,” Adi Ashkenazy, generálny riaditeľ austrálskej kybernetickej bezpečnosti. spoločnosť Skylight Cyber, povedala The Hacker News e-mailom.

Nagios je nástroj IT infraštruktúry s otvoreným zdrojom, ktorý je analogický k nástroju SolarWinds Network Performance Monitor (NPM), ktorý ponúka služby monitorovania a varovania pre servery, sieťové karty, aplikácie a služby.

Problémy, ktoré pozostávajú z kombinácie overeného vzdialeného spustenia kódu (RCE) a nedostatkov eskalácie privilégií, boli objavené a nahlásené spoločnosti Nagios v októbri 2020, po čom boli v novembri odstránené.

Hlavným z nich je CVE-2020-28648 (skóre CVSS: 8.8), ktorý sa týka nesprávneho overenia vstupu v komponente Auto-Discovery v Nagios XI, ktorý výskumníci použili ako východiskový bod na spustenie reťazca exploitov, ktorý spája celkovo päť zraniteľností, aby dosiahli „silný upstream útok“.

„Konkrétne, ak ako útočníci ohrozíme zákaznícku stránku, ktorá je monitorovaná pomocou servera Nagios XI, môžeme kompromitovať riadiaci server telekomunikačnej spoločnosti a každého ďalšieho zákazníka, ktorý je monitorovaný,“ uviedli výskumníci vo zverejnenom zázname. minulý týždeň.

Povedané inak; Scenár útoku funguje tak, že sa zacieli na server Nagios XI na mieste zákazníka pomocou CVE-2020-28648 a CVE-2020-28910 na získanie RCE a zvýšenie privilégií na „root“. So serverom, ktorý je teraz účinne kompromitovaný, môže protivník posielať poškodené údaje na upstream server Nagios Fusion, ktorý sa používa na poskytovanie centralizovanej viditeľnosti v celej infraštruktúre pravidelným dopytovaním serverov Nagios XI.

„Poškodením údajov vrátených zo servera XI pod našou kontrolou môžeme spustiť Cross-Site Scripting [CVE-2020-28903] a spúšťať kód JavaScript v kontexte používateľa Fusion,“ povedal výskumník Skylight Cyber ​​Samir Ghanem.

Ďalšia fáza útoku využíva túto schopnosť spustiť ľubovoľný kód JavaScript na serveri Fusion s cieľom získať RCE (CVE-2020-28905) a následne zvýšiť povolenia (CVE-2020-28902) na prevzatie kontroly nad serverom Fusion a v konečnom dôsledku, preniknúť na servery XI umiestnené na iných zákazníckych miestach.

Výskumníci tiež zverejnili nástroj na post-exploitáciu založený na PHP s názvom SoyGun, ktorý spája zraniteľnosti dohromady a „umožňuje útočníkovi s povereniami používateľa Nagios XI a HTTP prístupom k serveru Nagios XI prevziať plnú kontrolu nad nasadením Nagios Fusion“.

Súhrn 13 zraniteľností je uvedený nižšie –

  • CVE-2020-28648 – Nagios XI overené spustenie kódu na diaľku (z kontextu málo privilegovaného používateľa)
  • CVE-2020-28900 – Eskalácia privilégií Nagios Fusion a XI od nagios do koreň cez upgrade_to_latest.sh
  • CVE-2020-28901 – Eskalácia privilégií Nagios Fusion od apache do nagios prostredníctvom vstrekovania príkazov do parametra component_dir v cmd_subsys.php
  • CVE-2020-28902 – Eskalácia privilégií Nagios Fusion od apache do nagios prostredníctvom vstrekovania príkazov do parametra časového pásma v cmd_subsys.php
  • CVE-2020-28903 – XSS v Nagios XI, keď má útočník kontrolu nad fúzovaným serverom
  • CVE-2020-28904 – Eskalácia privilégií Nagios Fusion od apache do nagios prostredníctvom inštalácie škodlivých komponentov
  • CVE-2020-28905 – Nagios Fusion overené spustenie kódu na diaľku (z kontextu používateľa s nízkymi oprávneniami)
  • CVE-2020-28906 – Eskalácia privilégií Nagios Fusion a XI od nagios do koreň cez modifikáciu fusion-sys.cfg / xi-sys.cfg
  • CVE-2020-28907 – Eskalácia privilégií Nagios Fusion od apache do koreň cez upgrade_to_latest.sh a úpravu konfigurácie proxy
  • CVE-2020-28908 – Eskalácia privilégií Nagios Fusion od apache do nagios cez príkazové vstrekovanie (spôsobené zlou dezinfekciou) v cmd_subsys.php
  • CVE-2020-28909 – Eskalácia privilégií Nagios Fusion od nagios do koreň prostredníctvom úpravy skriptov, ktoré sa môžu vykonávať ako sudo
  • CVE-2020-28910 – Eskalácia privilégií Nagios XI getprofile.sh
  • CVE-2020-28911 – Zverejňovanie informácií o Nagios Fusion: Používatelia s nižšími privilegiami sa môžu autentifikovať na fúzovanom serveri, keď sú uložené poverenia

Keďže spoločnosť SolarWinds sa minulý rok stala obeťou veľkého útoku na dodávateľský reťazec, zacielenie na platformu na monitorovanie siete, ako je Nagios, by mohlo umožniť zlomyseľným aktérom organizovať prieniky do podnikových sietí, laterálne rozšíriť ich prístup cez sieť IT a stať sa vstupným bodom pre sofistikovanejšie hrozby. .

“Množstvo úsilia, ktoré bolo potrebné na nájdenie týchto zraniteľných miest a ich využitie, je zanedbateľné v kontexte sofistikovaných útočníkov a konkrétne národných štátov,” povedal Ghanem.

“Ak by sme to mohli urobiť ako rýchly vedľajší projekt, predstavte si, aké jednoduché je to pre ľudí, ktorí venujú celý svoj čas vývoju týchto typov exploitov. Zlúčte to s množstvom knižníc, nástrojov a dodávateľov, ktorí sú prítomní a dajú sa využiť moderná sieť a máme pred sebou veľký problém.“