Nagios网络监控应用程序中的13个漏洞可能已被黑客滥用

近日，网络安全研究人员披露了有关Nagios网络监控应用程序中13个漏洞的详细信息，这些漏洞会形成一个完整的攻击链，会被攻击者滥用而劫持基础架构，而无需任何操作交互。

这些漏洞是由经过身份验证的远程代码执行(RCE)和权限提升漏洞组成，已被发现并在2020年10月报告给了Nagios，随后在11月得到修复。

Nagios是一款开源的免费网络监视工具，能有效监控Windows、Linux和Unix的主机状态，交换机路由器等网络设备，打印机等。在系统或服务状态异常时发出邮件或短信报警第一时间通知网站运维人员，在状态恢复后发出正常的邮件或短信通知。

有关Nagios网络监控应用程序中13个漏洞的详细信息如下：

CVE-2020-28648 -Nagios XI对远程代码执行进行了身份验证，CVSS评分为8.8，该漏洞最严重涉及Nagios XI的“自动发现”组件中的不当输入验证，研究人员将其用作跳闸点来触发将一个字符串串连在一起的漏洞利用链;

CVE-2020-28900-通过upgrade_to_latest.sh将Nagios Fusion和XI权限从Nagios升级到根;

CVE-2020-28901-通过在cmd_subsys.php中component_dir参数上的命令注入将Nagios Fusion权限从apache升级到nagios;

CVE-2020-28902-通过在cmd_subsys.php中的时区参数上进行命令注入将Nagios Fusion权限从apache升级到nagios;

CVE-2020-28903 -Nagios XI中的XSS，攻击者可以控制融合服务器;

CVE-2020-28904-通过安装恶意组件将Nagios Fusion权限从apache升级到nagios;

CVE-2020-28905 -Nagios Fusion验证了远程代码执行;

CVE-2020-28906-通过修改fusion-sys.cfg / xi-sys.cfg，将Nagios Fusion和XI权限从nagios升级到根;

CVE-2020-28907 -Nagios Fusion权限通过upgrade_to_latest.sh从apache升级到root并修改了代理配置;

CVE-2020-28908-在cmd_subsys.php中通过命令注入将Nagios Fusion权限从apache升级到nagios;

CVE-2020-28909-通过修改可以作为sudo执行的脚本，将Nagios Fusion权限从nagios升级到根;

CVE-2020-28910 -Nagios XI getprofile.sh权限升级;

CVE-2020-28911 -Nagios Fusion信息泄露：权限较低的用户可以在存储凭据时向融合服务器进行身份验证;

作为一个完整的攻击链，如果攻击者破坏了使用Nagios XI服务器进行监视的客户站点，就可能损害一家公司的管理服务器以及所有其他正在监视的客户。

比如一家电信公司正在监视数千个站点，如果一个客户站点受到完全破坏，则攻击者可以利用这些漏洞来破坏整个电信公司，然后再利用其他每个受监视的客户站点来进行攻击。Nagios是类似于SolarWinds网络性能监视器(NPM)的开源IT基础结构工具，可为服务器、网卡、应用程序和服务提供监视和警报服务。

在完整的攻击链中通过使用CVE-2020-28648和CVE-2020-28910在客户站点定位Nagios XI服务器来获得RCE并将权限提升为“root”，该攻击情形就可以通过将Nagios XI服务器定位于客户站点来实现。在服务器受到有效攻击的情况下，攻击者可以将受污染的数据发送到上游Nagios Fusion服务器，该服务器用于通过定期轮询Nagios XI服务器来提供集中式基础架构范围的可见性。