Эксплуатация уязвимостей позволяет злоумышленнику взломать IT-сети без вмешательства оператора.
Исследователи кибербезопасности из компании Skylight Cyber опубликовали подробности о 13 уязвимостях в программном обеспечении с открытым исходным кодом Nagios для мониторинга IT-сетей и компьютерных систем. Эксплуатация уязвимостей позволяет злоумышленнику взломать IT-сети без вмешательства оператора.
Самая опасная проблема (CVE-2020-28648) получила оценку в 8,8 балла по шкале CVSS и связана с некорректной проверкой вводимых данных в компоненте Auto-Discovery Nagios XI, который исследователи использовали в качестве отправной точки для запуска цепочки эксплоитов из пяти уязвимостей.
«Если злоумышленник скомпрометирует сайт клиента, который отслеживается с помощью сервера Nagios XI, он также сможет скомпрометировать сервер управления телекоммуникационной компании и всех других клиентов», — пояснили специалисты.
Сценарий атаки предполагает взлом сервера Nagios XI на сайте клиента с использованием уязвимостей CVE-2020-28648 и CVE-2020-28910 для получения удаленного доступа и повышения привилегий до уровня суперпользователя. После компрометации сервера преступник может отправить зараженные данные на сервер управления Nagios Fusion, который обеспечивает мониторинг всей инфраструктуры путем периодического опроса серверов Nagios XI.
«Зараженные данные, возвращаемые с сервера XI, позволяют осуществлять межсайтовое выполнение сценариев (CVE-2020-28903) и выполнять JavaScript-код в контексте пользователя Fusion», — отметили эксперты.
Исследователи также опубликовали инструмент SoyGun на базе PHP для постэксплуатации, который связывает уязвимости вместе и «позволяет злоумышленнику с учетными данными пользователя Nagios XI и доступом по HTTP-протоколу к серверу Nagios XI получить полный контроль над запуском Nagios Fusion».
Эксперты сообщили о своих находках Nagios в октябре 2020 года. В ноябре 2020 года компания выпустила исправления, устраняющие проблемы.
04-03-2025, 05:01 PM
Threaded Mode