Trang chủ » TheHackerNews » Chi tiết được tiết lộ trên Flaws quan trọng ảnh hưởng đến phần mềm giám sát CNTT Nagios
TheHackerNews

Chi tiết được tiết lộ trên Flaws quan trọng ảnh hưởng đến phần mềm giám sát CNTT Nagios

Tháng Năm 24, 2021
6 Views

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về 13 lỗ hổng trong ứng dụng giám sát mạng Nagios có thể bị kẻ thù lợi dụng để chiếm đoạt cơ sở hạ tầng mà không có bất kỳ sự can thiệp nào của nhà điều hành.

Adi Ashkenazy, Giám đốc điều hành của bộ phận an ninh mạng Úc có thể sử dụng các lỗ hổng để xâm phạm telco, nơi một viễn thông đang giám sát hàng nghìn trang web, nếu một trang web của khách hàng bị xâm phạm hoàn toàn công ty Skylight Cyber, nói với The Hacker News qua email.

Nagios là một công cụ cơ sở hạ tầng CNTT mã nguồn mở tương tự như SolarWinds Network Performance Monitor (NPM), cung cấp các dịch vụ giám sát và cảnh báo cho máy chủ, card mạng, ứng dụng và dịch vụ.

Các vấn đề, bao gồm sự kết hợp giữa thực thi mã từ xa được xác thực (RCE) và các lỗi leo thang đặc quyền, đã được phát hiện và báo cáo cho Nagios vào tháng 10 năm 2020, sau đó chúng được khắc phục trong Tháng mười một.

người kiểm tra mật khẩu

Đứng đầu trong số đó là CVE-2020-28648 (Điểm CVSS: 8,8), liên quan đến việc xác thực đầu vào không đúng trong Thành phần tự động khám phá của Nagios XI mà các nhà nghiên cứu đã sử dụng như một điểm khởi đầu để kích hoạt một chuỗi khai thác kết hợp tổng cộng năm lỗ hổng để đạt được một “cuộc tấn công ngược dòng mạnh mẽ.”

“Cụ thể, nếu chúng tôi, với tư cách là những kẻ tấn công, xâm phạm trang web của khách hàng đang được theo dõi bằng máy chủ Nagios XI, chúng tôi có thể xâm phạm máy chủ quản lý của công ty viễn thông và mọi khách hàng khác đang bị theo dõi”, các nhà nghiên cứu nói trong một bài viết được xuất bản vào tuần trước.

Đặt khác nhau; kịch bản tấn công hoạt động bằng cách nhắm mục tiêu máy chủ Nagios XI tại trang web của khách hàng, sử dụng CVE-2020-28648 và CVE-2020-28910 để đạt được RCE và nâng cao đặc quyền lên “root”. Với việc máy chủ hiện đã bị xâm phạm hiệu quả, kẻ thù sau đó có thể gửi dữ liệu bị ô nhiễm đến máy chủ Nagios Fusion ngược dòng được sử dụng để cung cấp khả năng hiển thị toàn bộ cơ sở hạ tầng tập trung bằng cách thăm dò định kỳ các máy chủ Nagios XI.

“Bằng cách làm bẩn dữ liệu được trả về từ máy chủ XI dưới sự kiểm soát của chúng tôi, chúng tôi có thể kích hoạt Cross-Site Scripting [CVE-2020-28903] và thực thi mã JavaScript trong ngữ cảnh của người dùng Fusion, ”nhà nghiên cứu Samir Ghanem của Skylight Cyber ​​cho biết.

Giai đoạn tiếp theo của cuộc tấn công tận dụng khả năng này để chạy mã JavaScript tùy ý trên máy chủ Fusion để lấy RCE (CVE-2020-28905) và sau đó nâng cấp quyền (CVE-2020-28902) để chiếm quyền kiểm soát máy chủ Fusion và cuối cùng, đột nhập vào máy chủ XI đặt tại các trang web của khách hàng khác.

Các nhà nghiên cứu cũng đã xuất bản một công cụ khai thác dựa trên PHP có tên là SoyGun xâu chuỗi các lỗ hổng lại với nhau và “cho phép kẻ tấn công có thông tin đăng nhập của người dùng Nagios XI và quyền truy cập HTTP vào máy chủ Nagios XI để có toàn quyền kiểm soát việc triển khai Nagios Fusion.”

Bản tóm tắt về 13 lỗ hổng được liệt kê dưới đây:

  • CVE-2020-28648 – Nagios XI xác thực thực thi mã từ xa (từ ngữ cảnh của người dùng có đặc quyền thấp)
  • CVE-2020-28900 – Báo cáo đặc quyền Nagios Fusion và XI từ nagios đến nguồn gốc qua lift_to_latest.sh
  • CVE-2020-28901 – Báo cáo đặc quyền Nagios Fusion từ apache đến nagios thông qua chèn lệnh vào tham số component_dir trong cmd_subsys.php
  • CVE-2020-28902 – Báo cáo đặc quyền Nagios Fusion từ apache đến nagios thông qua chèn lệnh trên tham số múi giờ trong cmd_subsys.php
  • CVE-2020-28903 – XSS trong Nagios XI khi kẻ tấn công có quyền kiểm soát máy chủ hợp nhất
  • CVE-2020-28904 – Báo cáo đặc quyền Nagios Fusion từ apache đến nagios thông qua việc cài đặt các thành phần độc hại
  • CVE-2020-28905 – Thực thi mã từ xa được xác thực Nagios Fusion (từ ngữ cảnh của người dùng có đặc quyền thấp)
  • CVE-2020-28906 – Báo cáo đặc quyền Nagios Fusion và XI từ nagios đến nguồn gốc thông qua sửa đổi fusion-sys.cfg / xi-sys.cfg
  • CVE-2020-28907 – Báo cáo đặc quyền Nagios Fusion từ apache đến nguồn gốc thông qua lift_to_latest.sh và sửa đổi cấu hình proxy
  • CVE-2020-28908 – Báo cáo đặc quyền Nagios Fusion từ apache đến nagios thông qua chèn lệnh (do khử trùng kém) trong cmd_subsys.php
  • CVE-2020-28909 – Báo cáo đặc quyền Nagios Fusion từ nagios đến nguồn gốc thông qua sửa đổi các tập lệnh có thể thực thi như sudo
  • CVE-2020-28910 – Báo cáo đặc quyền getprofile.sh của Nagios XI
  • CVE-2020-28911 – Tiết lộ thông tin Nagios Fusion: Người dùng có đặc quyền thấp hơn có thể xác thực với máy chủ hợp nhất khi thông tin đăng nhập được lưu trữ

Với SolarWinds trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng lớn vào năm ngoái, việc nhắm mục tiêu vào một nền tảng giám sát mạng như Nagios có thể cho phép kẻ độc hại dàn xếp các cuộc xâm nhập vào mạng công ty, sau đó mở rộng quyền truy cập của chúng trên mạng CNTT và trở thành điểm vào cho các mối đe dọa tinh vi hơn.

Ghanem cho biết: “Lượng nỗ lực cần thiết để tìm ra những lỗ hổng này và khai thác chúng là không đáng kể trong bối cảnh những kẻ tấn công tinh vi, và đặc biệt là các quốc gia”.

“Nếu chúng ta có thể thực hiện nó như một dự án phụ nhanh chóng, hãy tưởng tượng điều này đơn giản như thế nào đối với những người dành toàn bộ thời gian của họ để phát triển các loại hình khai thác này. Kết hợp điều đó với số lượng thư viện, công cụ và nhà cung cấp hiện có và có thể được tận dụng trong một mạng hiện đại và chúng tôi đang có một vấn đề lớn. “

Content Protection by DMCA.com

Từ khoá:

Các bài liên quan
© Từ 2020 | GenVerge
Trang thông tin cho tín đồ công nghệ Việt Nam
Chính sách Bảo Mật & quyền Riêng Tư
Mạng lưới
GenVerge | Trang thông tin dành cho tín đồ công nghệ Việt Nam
Logo
Đăng ký
Liên hệ Admin để kích hoạt tài khoản Cộng Tác Viên
Quên mật khẩu