新的Nagios软件漏洞可能会让黑客接管IT基础设施

Nagios网络管理系统中暴露了多达11个安全漏洞，其中一些可以链接起来，以实现具有最高权限的预认证远程代码执行，并导致凭证盗窃和网络钓鱼攻击

发现这些缺陷的工业网络安全公司Claroty表示，Nagios等工具的缺陷使它们成为一个有吸引力的目标，因为它们“监督企业网络中的核心服务器、设备和其他关键组件”这些问题已经在8月份发布的更新中得到修正，NAGIOS X5.8或以上，NigiOS XI切换向导2.5.7或以上，NaGiOS席席向导1.13或以上，NaGiOS席席警卫1.4.8或以上。##美元###“SolarWinds和Kaseya很可能成为攻击目标，不仅因为它们拥有庞大而有影响力的客户群，还因为它们各自的技术能够接入企业网络，无论是管理it、运营技术（OT）还是物联网（IoT）设备，”Claroty的诺姆·莫斯在周二发布的一篇文章中说，注意到针对IT和网络管理供应链的入侵如何成为危及数千下游受害者的渠道

问题的主要原因是在NigiOS XI交换机向导和NAGIOS席看守向导中的两个远程代码执行缺陷（CVE-2021-3364，CVE-2021-7336），NGAIX席中的SQL注入漏洞（CVE-2021-7350），以及影响NigiOS席席向导的服务器端请求伪造（SSRF），以及Nagios XI的自动发现工具（CVE-2021-37343）中经过认证的RCE。以下是11个缺陷的完整列表-

在1.4.8版本中，通过对OS命令（OS命令注入）中使用的特殊元素的不适当中和，容易受到远程代码执行的影响，即在版本1.4.8之前，易受远程代码执行影响的远程代码执行席。在$5.85版本之前，Navigi席易受本地特权升级的影响，因为GETPrrices。sh不会验证作为参数接收的目录名

• 第7.5版-5.0的CVE-2021-7388A（CVSS评分：1）-NAGIOS席易通过索引中路径名的不适当限制而易受本地文件的包扰。php
• 第二版5.05.0之前，CVE-2021-7339 9席（CVSS评分：7.8）-NAGIOS XI由于清除器易受本地权限升级的影响。php不会清理从数据库读取的输入
• 第9.8版-5.0的CVE-2021-7350席（CVSS评分：1）-NAGIOS XI在版本修改工具中易受SQL注入漏洞的影响，因为输入的不正确处理。在$5.8的版本中，CVE-2021-7351和CVSS 2021-35351（CVSS评分：5.3）-NAGIOS席易受不安全许可的影响，允许未经认证的用户通过对服务器的精心制作的HTTP请求访问受保护的页面。第6.1版-5.0美元，在版本5.5.5之前存在于NAGIOS席中的开放重定向漏洞，可能导致欺骗。要利用该漏洞，攻击者可以发送一个包含精心编制的URL的链接，并说服用户单击该链接
• 在席布尔人口中，由于不正确的卫生处理，在1.1.3版本之前，NGIOS X-DOCKER向导易受SSRF的影响。

简而言之，攻击者可以将这些缺陷结合起来，删除web shell或执行PHP脚本，并将其权限提升到root，从而在root用户的上下文中执行任意命令。作为概念证明，Claroty将CVE-2021-37343和CVE-2021-37347链接起来，以获得“写什么在哪里”原语，从而允许攻击者将内容写入系统中的任何文件

“[网络管理系统]需要广泛信任和访问网络组件，以便正确监控网络行为和性能，以防出现故障和效率低下，”莫斯说

“它们还可以通过防火墙扩展到您的网络之外，以处理远程服务器和连接。因此，这些集中化系统可能成为攻击者攻击的目标，攻击者可以利用这种类型的网络集线器，并试图破坏它，以访问、操纵和破坏其他系统。”

这是自今年年初以来Nagios第二次披露近12个漏洞。今年5月早些时候，Skylight Cyber披露了网络监控应用程序中的13个安全漏洞，对手可能会滥用这些漏洞，在没有任何运营商干预的情况下劫持基础设施。