工业网络安全公司Claroty的研究人员在Nagios广泛使用的网络管理产品中发现了近12个漏洞。这些缺陷可能会给组织带来严重的风险,因为这些类型的产品可能成为恶意攻击者的诱人目标。已发现影响Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard的11个安全漏洞。供应商在8月份发布了针对每个受影响产品的补丁。Nagios的产品有着非常广泛的行业覆盖率,政府、教育、医疗保健和医学、军用、国防工业、研究与开发、制造业、零售、能源、电信、银行与金融,等等,许多知名企业如康卡斯特(Comcast)、壳牌(Shell)、DHL、欧莱雅(L "Oreal)、德州仪器(Texas Instruments)、西门子、东芝都是其客户。因此,Claroty公司的研究人员不无担心地指出,网络安全行业和用户应当特别关注这批漏洞和受影响产品的升级更新,谨防类似Solarwinds和Kaseya软件供应链攻击事件重演。
这一漏洞披露为何如此重要?
Nagios Core是一种流行的开源工具,用于监视IT基础设施的性能问题、事件调度和处理、警报以及与网络运行状况相关的更多功能。Nagios XI是一个使用Nagios Core的基于web的专有平台。XI通过增加额外的特性来增强IT操作,从而扩展了Core的能力。网络运营中心(NOC)员工和系统管理员使用该平台查看被管理服务器和工作站的当前状态。Nagios表示,全球有数千家组织使用其软件监控网络,康卡斯特(Comcast)、壳牌(Shell)、DHL、欧莱雅(L "Oreal)、德州仪器(Texas Instruments)、西门子、东芝(Toshiba)、Thales、Yahoo等知名公司都在其网站上被列为用户。
之所以这个Nagios XI的漏洞让人如此关注,就是因为它作为网络管理产品的特殊地位和作用。你一定不会忘记SolarWinds和Kaseya攻击事件,它们对IT和网络管理供应链的核心的破坏性入侵,是多么的让人触目惊心。在这两个案例中,所谓的国家威胁行为者都能够渗透到供应商用来向客户发送软件更新的机制中,并用包括勒索软件在内的恶意软件感染这些更新。在这两种情况下,成千上万的客户安装了受损的更新,两家供应商与客户建立的信任受到了严重损害。
SolarWinds和Kaseya成为目标可能不仅是因为它们庞大且有影响力的客户基础,还因为它们各自的技术可以接入企业网络,无论是管理IT、运营技术(OT)还是物联网(IoT)设备。网络管理系统对企业网络中的核心服务器、设备和其他关键组件进行监控;此外,考虑到这些系统用于监视服务器,它们通常包含许多网络秘密,如凭证或API令牌,这些对攻击者很有吸引力。因此,你不能不联想Nagios XI同样会成为攻击者的重点目标。
Nagios公司在中国有业务开展,其中文网站宣传的产品优势主要有八个方面,如下图所示:
Nagios的解决方案覆盖众多行业部门,包括政府、教育、医疗保健和医学、军用、国防工业、研究与开发、制造业、零售、能源、电信、银行与金融、运输及物流、航天、执法、应急管理、旅游、媒体、服务、非营利等。
11个漏洞概况
Team82团队的研究发现了Nagios XI可利用的11个漏洞,可能导致远程代码执行,凭据盗窃,网络钓鱼攻击,本地升级特权用户权限等。通过组合利用其中一些漏洞,攻击者可以使用高权限(root)实现身份验证后的远程代码执行。
CVE-2021-37353: 1.1.3版本之前的Nagios XI Docker Wizard容易受到服务器端请求伪造(SSRF)的攻击,原因是table_population.php中的不正确的卫生处理;
CVE-2021-37352: Nagios XI在5.8.5版本之前存在一个开放重定向漏洞,可能导致欺骗。要利用该漏洞,攻击者可以发送一个具有特殊URL的链接,并说服用户单击该链接。
CVE-2021-37351: 5.8.5版本之前的Nagios XI容易受到不安全权限的攻击,允许未经身份验证的用户通过对服务器的精心设计的HTTP请求访问受保护的页面。
CVE-2021-37350: Nagios XI 5.8.5版本之前的批量修改工具存在SQL注入漏洞,原因是输入清理不当。
CVE-2021-37349: 5.8.5版本之前的Nagios XI容易受到本地权限提升的影响,因为cleaner.php不清理从数据库读取的输入。
CVE-2021-37348:在5.8.5版本之前的Nagios XI很容易通过对index.php中的路径名的不当限制而包含本地文件。
CVE-2019-37347: 5.8.5版本之前的Nagios XI容易受到本地权限提升的影响,因为getprofile.sh不验证它接收到的作为参数的目录名。
CVE-2021-37346:版本1.4.8之前的Nagios XI WatchGuard Wizard容易受到远程代码执行的攻击,原因是OS命令中使用的特殊元素被不当中和(操作系统命令注入)。
CVE-2021-37345: 5.8.5版本之前的Nagios XI容易受到本地权限提升的影响,因为一些权限提升的脚本正在从/var目录导入到XI-sys.cfg。
CVE-2021-37344: 2.5.7版之前的Nagios XI Switch Wizard容易受到远程代码执行的攻击,因为它会对操作系统命令中使用的特殊元素进行不恰当的中和(操作系统命令注入)。
CVE-2021-37343: Nagios XI5.8.5版的AutoDiscovery组件存在路径遍历漏洞,可能导致运行Nagios的用户的安全上下文下的后认证RCE。
Claroty创建了一个概念验证(PoC)漏洞,展示了经过身份验证的攻击者如何将一些漏洞链接起来,以使用根权限执行shell命令。
Nagios XI使用许多脚本和可执行文件,并支持SNMP、SSH和Windows Management Instrumentation (WMI)等协议来调用命令并从其监视的设备派生统计信息。为了能够使用这些协议,配置设备的IT管理员必须向Nagios XI提供凭据,以便连接到这些设备。这些凭据保存在Nagios数据库中以供进一步使用。Nagios还允许安装插件,从而扩展了Nagios XI的功能。缺点是,这也扩展了威胁参与者可用的攻击面,并增加了可能存在的漏洞的数量。
虽然在很多情况下使用Nagios都需要身份验证,但研究人员指出,Nagios XI极大地扩展了平台的攻击面的另一个特性是自动登录特性。这个特性在构建时考虑到了NOC管理员,它允许Nagios管理员设置一个只读用户帐户,任何用户都可以连接该帐户,而不需要凭据。虽然该特性可能对NOC有用,但允许用户轻松连接到平台并查看信息,而不需要凭据,也允许攻击者获得平台中的用户帐户的访问权,从而使任何认证后漏洞无需身份验证就可以利用。
安全建议
今年8月,Nagios通过对Nagios XI、Nagios XI Docker Wizard、Nagios XI WatchGuard Wizard和Nagios XI Switch Wizard的更新,解决了Team82私下披露的漏洞。
除了及时更新那些受影响的系统外,用户还应该遵守一些保证网络管理系统安全的基本规则。
信任:这些系统需要广泛的信任和对网络组件的访问,以便正确地监控网络行为和性能,防止故障和低效。它们还可以通过防火墙扩展到您的网络之外,以处理远程服务器和连接。因此,这些集中式系统肯定是攻击者的理想目标,攻击者可以利用这类产品的漏洞,并试图通过入侵控制它来访问、操纵和破坏其他系统。
监控:对网络管理系统的访问应受到密切监视,并仅限于有特权的内部人士。所有的连接和活动都应该被监视和警告。
参考资源
1、https://www.securityweek.com/flaws-nagios-network-management-product-can-pose-risk-many-companies
2、https://claroty.com/2021/09/21/blog-research-securing-network-management-systems-nagios-xi/
3、https://www.nagios.com/casestudies/#Users
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。