开源监控软件Nagios爆出11个高危漏洞，可远程代码执行提权

开源网络管理系统Nagios中披露了多达 11 个安全漏洞，其中一些可以被链接起来以实现具有最高权限的预认证远程代码执行，以及导致密码盗窃和网络钓鱼攻击。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，由于Nagios被众多企业中用于对核心服务器、网络设备和其他关键组件进行系统监控，这使得Nagios的安全漏洞受到众多恶意黑客组织的关注。这些安全漏洞已在 8 月份发布的 Nagios XI 5.8.5、Nagios XI Switch Wizard 2.5.7、Nagios XI Docker Wizard 1.13以及 Nagios XI WatchGuard 1.4.8的更新中得到了修复。

SolarWinds和Kaseya可能成为攻击目标，不仅因为它们庞大且有影响力的客户群，还因为它们各自的技术能够访问企业网络，无论是管理 IT、运营技术 (OT) 还是物联网 (IoT)设备，针对IT和网络管理供应链的入侵如何成为一个管道妥协下游数千名受害者。

Nagios Core 是一种流行的开源网络监控工具，用于密切关注 IT 基础设施的性能问题，并在关键任务组件出现故障后发送警报。Nagios XI 是一个基于 Web 的专有平台，构建在 Nagios Core 之上，通过可扩展的监控和可定制的主机、服务和网络设备的高级概览，为组织提供对其 IT 运营的深入洞察。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，其中最主要的问题是 Nagios XI Switch Wizard 和 Nagios XI WatchGuard Wizard 中的2个远程代码执行漏洞（CVE-2021-37344、CVE-2021-37346），Nagios XI 中的一个 SQL 注入漏洞（CVE-2021-37350），以及影响 Nagios XI Docker 向导的服务器端请求伪造 (SSRF)，以及 Nagios XI 的自动发现工具中的经过身份验证的 RCE。

11个安全漏洞的完整列表如下：

• CVE-2021-37343（CVSS 评分：8.8）- 5.8.5 版以下的自动发现组件中的 Nagios XI 中存在路径遍历漏洞，可能会导致在运行 Nagios 的用户的安全上下文下进行后验证 RCE。
• CVE-2021-37344（CVSS 评分：9.8）- 2.5.7 版之前的 Nagios XI Switch Wizard 容易通过对 OS 命令中使用的特殊元素（OS 命令注入）中使用的特殊元素的不当中和而受到远程代码执行的攻击。
• CVE-2021-37345（CVSS 评分：7.8）- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响，因为 xi-sys.cfg 是从 var 目录中导入的，用于某些具有提升权限的脚本。
• CVE-2021-37346（CVSS 评分：9.8）- 1.4.8 版之前的 Nagios XI WatchGuard 向导容易通过操作系统命令中使用的特殊元素的不当中和（操作系统命令注入）进行远程代码执行。
• CVE-2021-37347（CVSS 评分：7.8）- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响，因为 getprofile.sh 不会验证它作为参数接收的目录名称。
• CVE-2021-37348（CVSS 评分：7.5）- 5.8.5 版之前的 Nagios XI 容易通过对 index.php 中路径名的不当限制而受到本地文件包含的影响。
• CVE-2021-37349（CVSS 评分：7.8）- 5.8.5 版之前的 Nagios XI 容易受到本地权限提升的影响，因为cleaner.php 不会清理从数据库读取的输入。
• CVE-2021-37350（CVSS 评分：9.8）- 由于输入清理不当，5.8.5 版之前的 Nagios XI 容易受到批量修改工具中 SQL 注入漏洞的影响。
• CVE-2021-37351（CVSS 评分：5.3）- 5.8.5 版之前的 Nagios XI 容易受到不安全权限的影响，并允许未经身份验证的用户通过对服务器的精心设计的 HTTP 请求访问受保护的页面。
• CVE-2021-37352（CVSS 评分：6.1）- 5.8.5 版之前的 Nagios XI 中存在一个开放重定向漏洞，可能导致欺骗。要利用此漏洞，攻击者可以发送带有特制 URL 的链接并诱使用户单击该链接。
• CVE-2021-37353（CVSS 评分：9.8） – 由于 table_population.php 中的清理不当，1.1.3 版之前的 Nagios XI Docker 向导容易受到 SSRF 的影响。

简而言之，攻击者可以结合这些漏洞来投放 web shell 或执行 PHP 脚本并将其权限提升为 root，从而实现在 root 用户上下文中的任意命令执行。作为概念验证，Claroty 将 CVE-2021-37343 和 CVE-2021-37347 链接起来以获得 write-what-where 原语，允许攻击者将内容写入系统中的任何文件。

网络管理系统需要广泛的信任和对网络组件的访问，以便正确监控网络行为和性能是否出现故障和效率低下，它们还可能通过防火墙扩展到您的网络之外以处理远程服务器和连接。因此，这些集中式系统可能成为攻击者的一个很好的目标，他们可以利用这种类型的网络集线器，并试图破坏它以访问，操纵并破坏其他系统。

此次披露是 Nagios 自今年年初以来第二次披露近 10 项漏洞。今年 5 月初，Skylight Cyber​​ 揭示了网络监控应用程序中的13 个安全漏洞，攻击者可能会滥用这些漏洞来劫持基础设施，而无需任何操作员干预。