Security Affairs 網(wǎng)站披露,Outpost 24 的研究人員 Astrid Tedenbrant 在 Nagios XI 網(wǎng)絡(luò)和 IT 基礎(chǔ)架構(gòu)監(jiān)控與管理解決方案中發(fā)現(xiàn)四個漏洞,漏洞分別追蹤為 CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934,可能導(dǎo)致信息泄露和權(quán)限升級。
Nagios XI 可監(jiān)控所有關(guān)鍵任務(wù)基礎(chǔ)設(shè)施組件,其中主要包括應(yīng)用程序、服務(wù)、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、系統(tǒng)指標(biāo)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,目前全球有成千上萬的實體組織正在在使用它。
據(jù)悉,這些安全漏洞主要影響到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入問題,網(wǎng)絡(luò)可利用這幾個漏洞提升自身權(quán)限,并獲取敏感的用戶數(shù)據(jù),包括密碼哈希和 API 令牌。
漏洞 CVE-2023-40932 是一個通過自定義徽標(biāo)組件的跨站點腳本問題,網(wǎng)絡(luò)攻擊者可以觸發(fā)該安全漏洞來讀取和修改目標(biāo)受害者的頁面數(shù)據(jù)(包括登錄表單中的純文本密碼)。
Outpost24 在發(fā)布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三個漏洞允許具有不同權(quán)限級別的用戶通過 SQL 注入訪問數(shù)據(jù)庫字段,從這些漏洞獲得的數(shù)據(jù)可能用于進(jìn)一步提升產(chǎn)品中的權(quán)限,并獲取密碼哈希和 API 令牌等敏感用戶數(shù)據(jù)。
第四個漏洞(CVE-2023-40932)允許通過自定義徽標(biāo)組件進(jìn)行跨站點腳本編寫,該組件將在每個頁面上呈現(xiàn),包括登錄頁面,這就可能被網(wǎng)絡(luò)攻擊者用來讀取和修改頁面數(shù)據(jù),例如登錄表單中的純文本密碼。
Nagios XI 公司于 2023 年 9 月 11 日發(fā)布了 5.11.2 版,解決了上述漏洞問題。
值得一提的是,2021 年 9 月,工業(yè)網(wǎng)絡(luò)安全公司 Claroty 的研究人員也曾在 Nagios 中發(fā)現(xiàn)了 11 個漏洞。據(jù)悉,漏洞可能導(dǎo)致服務(wù)器端請求偽造(SSRF)、欺騙、本地權(quán)限升級、遠(yuǎn)程代碼執(zhí)行和信息泄露。