开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
工业网络安全公司Claroty 发现了这些缺陷并表示,由于 Nagios 等工具负责 “监管企业网络中的核心服务器、设备和其它关键组件”,因此是攻击者青睐的目标。这些缺陷已在8月发布的安全更新中修复,包括:Nagios XI 5.8.5 或以上版本、Nagios XI Switch Wizard 2.5.7 或以上版本、Nagios XI Docker Wizard 1.13 或以上版本以及 Nagios XI WatchGuard 1.4.8 或以上版本。
Claroty 公司的研究员 Noam Moshe 在write-up 中指出,“SolarWinds 和 Kaseya 成为可能的攻击目标不仅在于它们拥有庞大且具有影响力的客户库,而且因为利用它们可访问企业网络如管理 IT、运营网络 (OT) 或物联网 (IoT) 设备。” 瞄准 IT 和网络管理供应链的入侵活动已成为攻陷数千名下游受害者的中转通道。
Nagios Core 是一款类似于 SolarWinds 网络性能监控器 (NPM) 的开源网络体检工具,用于检查IT 基础设施上的性能问题并在任务关键组件失败后发出警报信息。Nagios XI 是一款基于 Nagios Core 而构建的专有 web 平台,可使组织机构通过可扩展监控和可自定义的主机、服务和网络设备高级别审查来洞察 IT 操作。
这些问题中最主要的是位于 Nagios XI Switch Wizard 和 Nagios XI WatcGuard Wizard 中两个远程代码执行缺陷(CVE-2021-37344和CVE-2021-37346)、Nagios XI 中的SQL 注入漏洞 (CVE-2021-37350)、影响 Nagios XI Docker Wizard 的服务器端请求伪造 (SSRF) 漏洞以及 Nagios XI 自动发现工具中的认证后远程代码执行漏洞。这11个缺陷如下:
CVE-2021-37343(CVSS评分8.8):位于低于5.8.5版本Nagios XI AutoDiscovery 组件中的路径遍历漏洞,在用户运行 Nagios 的安全上下文中可导致认证后 RCE。
CVE-2021-37344(CVSS评分9.8):由于对操作系统命令中所使用的特殊元素中和不当,Nagios XI Switch Wizard 低于2.5.7的版本易受远程代码执行攻击。
CVE-2021-37345(CVSS评分7.8):Nagios XI 5.8.5 之前的版本易受本地提权攻击,原因是通过提权可从某些脚本的 var 目录导入 xi-sys.cfg。
CVE-2021-37346(CVSS评分9.8):由于对操作系统命令中所使用的特殊元素中和不当,Nagios XI WatchGuard Wizard 低于1.4.8的版本易受远程代码执行攻击。
CVE-2021-37347(CVSS评分7.8):Nagios XI 低于5.8.5的版本易受本地提权攻击,因为 getprofile.sh 并未验证作为参数接收的目录名称。
CVE-2021-37348(CVSS评分7.5):Nagios XI 低于5.8.5的版本易受本地文件包含漏洞影响,该漏洞是由于 index.php 中的路径名称限制不当造成的。
CVE-2021-37349(CVSS评分7.8):Nagios XI 5.8.5之前的版本易受本地提权攻击,因为 cleaner.php 未清理从数据库读取的输入。
CVE-2021-37350(CVSS 评分9.8):Nagios XI 5.8.5之前的版本易受 Bulk Modifications Tool 中的SQL 注入漏洞影响,原因是输入清理不当。
CVE-2021-37351(CVSS 评分5.3):Nagios XI 5.8.5之前的版本易受不安全权限漏洞影响,可使未认证用户通过对服务器的HTTP构造请求访问受保护页面。
CVE-2021-37352(CVSS评分6.1):Nagios XI 5.8.5之前的版本中存在的开放重定向漏洞,可导致欺骗。攻击者可发送具有特殊构造 URL 的链接并说服用户点击该链接以利用该漏洞。
CVE-2021-37353(CVSS评分9.8):因table_population.php 中的清理不当,Nagios XI Docker Wizard 1.1.3 之前的版本易受 SSRF 漏洞影响。
简言之,这些缺陷可被组合利用释放 web shell 或执行 PHP 脚本并提权至root,从而在 root 用户上下文中执行任意命令。作为概念验证,Claroty 公司结合利用 CVE-2021-37343和CVE-2021-37347 获得write-what-where原语,从而导致攻击者在系统中的任意文件写入内容。
Moshe 表示,“网络管理系统要求广泛的信任和访问网络组件,以便正确地监控网络行为和性能中的失败和效率不佳的问题。同时通过防火墙延申至网络之外,以触及远程服务器和连接。因此,这些中心化系统可称为受攻击者青睐的目标,攻击者可利用这种网络中心试图攻陷它,访问、操纵并破坏其它系统。”
这是Nagios 软件第二次出现近一打漏洞的时候。今年5月初,Skylight Cyber 公司披露了位于网络监控应用程序中的13个安全漏洞,攻击者可利用这些漏洞劫持基础设施而不受操作者的任何干扰。
谷歌资助OSTIF审计8个重要开源项目,提升软件供应链安全
【BCS2021】软件供应链完整演讲回看
美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全
在线阅读版:《2021中国软件供应链安全分析报告》全文
https://thehackernews.com/2021/09/new-nagios-software-bugs-could-let.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。