Rincian Diungkapkan Tentang Cacat Kritis yang Mempengaruhi Perangkat Lunak Pemantauan TI Nagios

  • Whatsapp
Rincian Diungkapkan Tentang Cacat Kritis yang Mempengaruhi Perangkat Lunak Pemantauan TI Nagios

Peneliti keamanan siber mengungkapkan rincian tentang 13 kerentanan dalam aplikasi pemantauan jaringan Nagios yang dapat disalahgunakan oleh musuh untuk membajak infrastruktur tanpa campur tangan operator apa pun.

“Dalam pengaturan telekomunikasi, di mana sebuah perusahaan telekomunikasi memantau ribuan situs, jika situs pelanggan sepenuhnya disusupi, penyerang dapat menggunakan kerentanan tersebut untuk menyusupi perusahaan telekomunikasi, dan kemudian setiap situs pelanggan yang dipantau,” Adi Ashkenazy, CEO keamanan siber Australia perusahaan Skylight Cyber, memberi tahu The Hacker News melalui email.

Bacaan Lainnya

Nagios adalah alat infrastruktur TI sumber terbuka yang serupa dengan SolarWinds Network Performance Monitor (NPM) yang menawarkan layanan pemantauan dan peringatan untuk server, kartu jaringan, aplikasi, dan layanan.

Masalah tersebut, yang terdiri dari campuran eksekusi kode jarak jauh yang diautentikasi (RCE) dan kelemahan eskalasi hak istimewa, ditemukan dan dilaporkan ke Nagios pada bulan Oktober 2020, setelah itu muncul. diperbaiki di November.

auditor kata sandi

Kepala di antara mereka adalah CVE-2020-28648 (Skor CVSS: 8.8), yang menyangkut validasi input yang tidak tepat di file Komponen Penemuan Otomatis dari Nagios XI yang digunakan para peneliti sebagai titik awal untuk memicu rantai eksploitasi yang merangkai total lima kerentanan untuk mencapai “serangan hulu yang kuat.”

“Yaitu, jika kita, sebagai penyerang, menyusupi situs pelanggan yang sedang dipantau menggunakan server Nagios XI, kita dapat membahayakan server manajemen perusahaan telekomunikasi dan setiap pelanggan lain yang sedang dipantau,” para peneliti kata dalam artikel yang diterbitkan minggu lalu.

Dengan kata lain; skenario serangan bekerja dengan menargetkan server Nagios XI di situs pelanggan, menggunakan CVE-2020-28648 dan CVE-2020-28910 untuk mendapatkan RCE dan meningkatkan hak istimewa ke “root”. Dengan server yang sekarang secara efektif dikompromikan, musuh kemudian dapat mengirim data tercemar ke server Nagios Fusion hulu yang digunakan untuk menyediakan visibilitas seluruh infrastruktur terpusat dengan secara berkala melakukan polling pada server Nagios XI.

“Dengan mencemari data yang dikembalikan dari server XI di bawah kendali kami, kami dapat memicu Cross-Site Scripting [CVE-2020-28903] dan mengeksekusi kode JavaScript dalam konteks pengguna Fusion, “kata peneliti Skylight Cyber ​​Samir Ghanem.

Fase serangan berikutnya memanfaatkan kemampuan ini untuk menjalankan kode JavaScript arbitrer di server Fusion untuk mendapatkan RCE (CVE-2020-28905) dan kemudian meningkatkan izin (CVE-2020-28902) untuk menguasai server Fusion dan, pada akhirnya, membobol server XI yang terletak di situs pelanggan lain.

Para peneliti juga telah menerbitkan alat pasca-eksploitasi berbasis PHP yang disebut SoyGun yang menyatukan kerentanan dan “memungkinkan penyerang dengan kredensial pengguna Nagios XI dan akses HTTP ke server Nagios XI untuk mengambil kendali penuh atas penyebaran Nagios Fusion.”

Ringkasan dari 13 kerentanan tercantum di bawah ini –

  • CVE-2020-28648 – Nagios XI mengotentikasi eksekusi kode jarak jauh (dari konteks pengguna dengan hak istimewa rendah)
  • CVE-2020-28900 – Eskalasi hak istimewa Nagios Fusion dan XI dari nagios untuk akar melalui upgrade_to_latest.sh
  • CVE-2020-28901 – Eskalasi hak istimewa Nagios Fusion dari Apache untuk nagios melalui injeksi perintah pada parameter component_dir di cmd_subsys.php
  • CVE-2020-28902 – Eskalasi hak istimewa Nagios Fusion dari Apache untuk nagios melalui injeksi perintah pada parameter zona waktu di cmd_subsys.php
  • CVE-2020-28903 – XSS di Nagios XI saat penyerang memiliki kendali atas server gabungan
  • CVE-2020-28904 – Eskalasi hak istimewa Nagios Fusion dari Apache untuk nagios melalui penginstalan komponen berbahaya
  • CVE-2020-28905 – Eksekusi kode jarak jauh terotentikasi Nagios Fusion (dari konteks pengguna dengan hak istimewa rendah)
  • CVE-2020-28906 – Eskalasi hak istimewa Nagios Fusion dan XI dari nagios untuk akar melalui modifikasi fusion-sys.cfg / xi-sys.cfg
  • CVE-2020-28907 – Eskalasi hak istimewa Nagios Fusion dari Apache untuk akar melalui upgrade_to_latest.sh dan modifikasi konfigurasi proxy
  • CVE-2020-28908 – Eskalasi hak istimewa Nagios Fusion dari Apache untuk nagios melalui injeksi perintah (disebabkan oleh sanitasi yang buruk) di cmd_subsys.php
  • CVE-2020-28909 – Eskalasi hak istimewa Nagios Fusion dari nagios untuk akar melalui modifikasi skrip yang dapat dijalankan sebagai sudo
  • CVE-2020-28910 – Eskalasi hak istimewa Nagios XI getprofile.sh
  • CVE-2020-28911 – Pengungkapan informasi Nagios Fusion: Pengguna dengan hak istimewa yang lebih rendah dapat mengautentikasi ke server gabungan saat kredensial disimpan

Dengan SolarWinds menjadi korban serangan rantai pasokan besar tahun lalu, menargetkan platform pemantauan jaringan seperti Nagios dapat memungkinkan aktor jahat untuk mengatur gangguan ke jaringan perusahaan, secara lateral memperluas akses mereka ke seluruh jaringan TI, dan menjadi titik masuk untuk ancaman yang lebih canggih. .

“Jumlah upaya yang diperlukan untuk menemukan kerentanan ini dan mengeksploitasinya dapat diabaikan dalam konteks penyerang yang canggih, dan khususnya negara-bangsa,” kata Ghanem.

“Jika kita dapat melakukannya sebagai proyek sampingan cepat, bayangkan betapa sederhananya hal ini bagi orang-orang yang mendedikasikan seluruh waktu mereka untuk mengembangkan jenis eksploitasi ini. Gabungkan dengan jumlah perpustakaan, alat, dan vendor yang hadir dan dapat dimanfaatkan jaringan modern, dan kami memiliki masalah besar di tangan kami. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *