網(wǎng)絡(luò)管理產(chǎn)品Nagios的缺陷可能導(dǎo)致非常嚴(yán)重的供應(yīng)鏈風(fēng)險(xiǎn)
2021-09-23
來(lái)源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
工業(yè)網(wǎng)絡(luò)安全公司Claroty的研究人員在Nagios廣泛使用的網(wǎng)絡(luò)管理產(chǎn)品中發(fā)現(xiàn)了近12個(gè)漏洞,。這些缺陷可能會(huì)給組織帶來(lái)嚴(yán)重的風(fēng)險(xiǎn),,因?yàn)檫@些類型的產(chǎn)品可能成為惡意攻擊者的誘人目標(biāo)。已發(fā)現(xiàn)影響Nagios XI,、XI Switch Wizard,、XI Docker Wizard和XI WatchGuard的11個(gè)安全漏洞,。供應(yīng)商在8月份發(fā)布了針對(duì)每個(gè)受影響產(chǎn)品的補(bǔ)丁,。Nagios的產(chǎn)品有著非常廣泛的行業(yè)覆蓋率,政府,、教育,、醫(yī)療保健和醫(yī)學(xué)、軍用,、國(guó)防工業(yè),、研究與開(kāi)發(fā)、制造業(yè),、零售,、能源、電信,、銀行與金融,,等等,,許多知名企業(yè)如康卡斯特(Comcast),、殼牌(Shell)、DHL,、歐萊雅(L 'Oreal),、德州儀器(Texas Instruments)、西門(mén)子,、東芝都是其客戶,。因此,Claroty公司的研究人員不無(wú)擔(dān)心地指出,,網(wǎng)絡(luò)安全行業(yè)和用戶應(yīng)當(dāng)特別關(guān)注這批漏洞和受影響產(chǎn)品的升級(jí)更新,,謹(jǐn)防類似Solarwinds和Kaseya軟件供應(yīng)鏈攻擊事件重演。
這一漏洞披露為何如此重要,?
Nagios Core是一種流行的開(kāi)源工具,,用于監(jiān)視IT基礎(chǔ)設(shè)施的性能問(wèn)題、事件調(diào)度和處理,、警報(bào)以及與網(wǎng)絡(luò)運(yùn)行狀況相關(guān)的更多功能,。Nagios XI是一個(gè)使用Nagios Core的基于web的專有平臺(tái)。XI通過(guò)增加額外的特性來(lái)增強(qiáng)IT操作,,從而擴(kuò)展了Core的能力,。網(wǎng)絡(luò)運(yùn)營(yíng)中心(NOC)員工和系統(tǒng)管理員使用該平臺(tái)查看被管理服務(wù)器和工作站的當(dāng)前狀態(tài)。Nagios表示,,全球有數(shù)千家組織使用其軟件監(jiān)控網(wǎng)絡(luò),,康卡斯特(Comcast)、殼牌(Shell),、DHL,、歐萊雅(L 'Oreal)、德州儀器(Texas Instruments)、西門(mén)子,、東芝(Toshiba),、Thales、Yahoo等知名公司都在其網(wǎng)站上被列為用戶,。
之所以這個(gè)Nagios XI的漏洞讓人如此關(guān)注,,就是因?yàn)樗鳛榫W(wǎng)絡(luò)管理產(chǎn)品的特殊地位和作用。你一定不會(huì)忘記SolarWinds和Kaseya攻擊事件,,它們對(duì)IT和網(wǎng)絡(luò)管理供應(yīng)鏈的核心的破壞性入侵,,是多么的讓人觸目驚心。在這兩個(gè)案例中,,所謂的國(guó)家威脅行為者都能夠滲透到供應(yīng)商用來(lái)向客戶發(fā)送軟件更新的機(jī)制中,,并用包括勒索軟件在內(nèi)的惡意軟件感染這些更新。在這兩種情況下,,成千上萬(wàn)的客戶安裝了受損的更新,,兩家供應(yīng)商與客戶建立的信任受到了嚴(yán)重?fù)p害。
SolarWinds和Kaseya成為目標(biāo)可能不僅是因?yàn)樗鼈凖嫶笄矣杏绊懥Φ目蛻艋A(chǔ),,還因?yàn)樗鼈兏髯缘募夹g(shù)可以接入企業(yè)網(wǎng)絡(luò),,無(wú)論是管理IT、運(yùn)營(yíng)技術(shù)(OT)還是物聯(lián)網(wǎng)(IoT)設(shè)備,。網(wǎng)絡(luò)管理系統(tǒng)對(duì)企業(yè)網(wǎng)絡(luò)中的核心服務(wù)器,、設(shè)備和其他關(guān)鍵組件進(jìn)行監(jiān)控;此外,,考慮到這些系統(tǒng)用于監(jiān)視服務(wù)器,,它們通常包含許多網(wǎng)絡(luò)秘密,如憑證或API令牌,,這些對(duì)攻擊者很有吸引力,。因此,你不能不聯(lián)想Nagios XI同樣會(huì)成為攻擊者的重點(diǎn)目標(biāo),。
Nagios公司在中國(guó)有業(yè)務(wù)開(kāi)展,,其中文網(wǎng)站宣傳的產(chǎn)品優(yōu)勢(shì)主要有八個(gè)方面,如下圖所示:
Nagios的解決方案覆蓋眾多行業(yè)部門(mén),,包括政府,、教育、醫(yī)療保健和醫(yī)學(xué),、軍用,、國(guó)防工業(yè)、研究與開(kāi)發(fā),、制造業(yè),、零售,、能源、電信,、銀行與金融,、運(yùn)輸及物流、航天,、執(zhí)法,、應(yīng)急管理、旅游,、媒體,、服務(wù)、非營(yíng)利等,。
11個(gè)漏洞概況
Team82團(tuán)隊(duì)的研究發(fā)現(xiàn)了Nagios XI可利用的11個(gè)漏洞,,可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行,憑據(jù)盜竊,,網(wǎng)絡(luò)釣魚(yú)攻擊,,本地升級(jí)特權(quán)用戶權(quán)限等。通過(guò)組合利用其中一些漏洞,,攻擊者可以使用高權(quán)限(root)實(shí)現(xiàn)身份驗(yàn)證后的遠(yuǎn)程代碼執(zhí)行,。
CVE-2021-37353: 1.1.3版本之前的Nagios XI Docker Wizard容易受到服務(wù)器端請(qǐng)求偽造(SSRF)的攻擊,原因是table_population.php中的不正確的衛(wèi)生處理,;
CVE-2021-37352: Nagios XI在5.8.5版本之前存在一個(gè)開(kāi)放重定向漏洞,可能導(dǎo)致欺騙,。要利用該漏洞,,攻擊者可以發(fā)送一個(gè)具有特殊URL的鏈接,并說(shuō)服用戶單擊該鏈接,。
CVE-2021-37351: 5.8.5版本之前的Nagios XI容易受到不安全權(quán)限的攻擊,,允許未經(jīng)身份驗(yàn)證的用戶通過(guò)對(duì)服務(wù)器的精心設(shè)計(jì)的HTTP請(qǐng)求訪問(wèn)受保護(hù)的頁(yè)面。
CVE-2021-37350: Nagios XI 5.8.5版本之前的批量修改工具存在SQL注入漏洞,,原因是輸入清理不當(dāng),。
CVE-2021-37349: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響,因?yàn)閏leaner.php不清理從數(shù)據(jù)庫(kù)讀取的輸入,。
CVE-2021-37348: 在5.8.5版本之前的Nagios XI很容易通過(guò)對(duì)index.php中的路徑名的不當(dāng)限制而包含本地文件,。
CVE-2019-37347: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響,因?yàn)間etprofile.sh不驗(yàn)證它接收到的作為參數(shù)的目錄名,。
CVE-2021-37346: 版本1.4.8之前的Nagios XI WatchGuard Wizard容易受到遠(yuǎn)程代碼執(zhí)行的攻擊,,原因是OS命令中使用的特殊元素被不當(dāng)中和(操作系統(tǒng)命令注入)。
CVE-2021-37345: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響,,因?yàn)橐恍?quán)限提升的腳本正在從/var目錄導(dǎo)入到XI-sys.cfg,。
CVE-2021-37344: 2.5.7版之前的Nagios XI Switch Wizard容易受到遠(yuǎn)程代碼執(zhí)行的攻擊,,因?yàn)樗鼤?huì)對(duì)操作系統(tǒng)命令中使用的特殊元素進(jìn)行不恰當(dāng)?shù)闹泻停ú僮飨到y(tǒng)命令注入)。
CVE-2021-37343: Nagios XI5.8.5版的AutoDiscovery組件存在路徑遍歷漏洞,,可能導(dǎo)致運(yùn)行Nagios的用戶的安全上下文下的后認(rèn)證RCE,。
Claroty創(chuàng)建了一個(gè)概念驗(yàn)證(PoC)漏洞,展示了經(jīng)過(guò)身份驗(yàn)證的攻擊者如何將一些漏洞鏈接起來(lái),,以使用根權(quán)限執(zhí)行shell命令,。
Nagios XI使用許多腳本和可執(zhí)行文件,并支持SNMP,、SSH和Windows Management Instrumentation (WMI)等協(xié)議來(lái)調(diào)用命令并從其監(jiān)視的設(shè)備派生統(tǒng)計(jì)信息,。為了能夠使用這些協(xié)議,配置設(shè)備的IT管理員必須向Nagios XI提供憑據(jù),,以便連接到這些設(shè)備,。這些憑據(jù)保存在Nagios數(shù)據(jù)庫(kù)中以供進(jìn)一步使用。Nagios還允許安裝插件,,從而擴(kuò)展了Nagios XI的功能,。缺點(diǎn)是,這也擴(kuò)展了威脅參與者可用的攻擊面,,并增加了可能存在的漏洞的數(shù)量,。
雖然在很多情況下使用Nagios都需要身份驗(yàn)證,但研究人員指出,,Nagios XI極大地?cái)U(kuò)展了平臺(tái)的攻擊面的另一個(gè)特性是自動(dòng)登錄特性,。這個(gè)特性在構(gòu)建時(shí)考慮到了NOC管理員,它允許Nagios管理員設(shè)置一個(gè)只讀用戶帳戶,,任何用戶都可以連接該帳戶,,而不需要憑據(jù)。雖然該特性可能對(duì)NOC有用,,但允許用戶輕松連接到平臺(tái)并查看信息,,而不需要憑據(jù),也允許攻擊者獲得平臺(tái)中的用戶帳戶的訪問(wèn)權(quán),,從而使任何認(rèn)證后漏洞無(wú)需身份驗(yàn)證就可以利用,。
安全建議
今年8月,Nagios通過(guò)對(duì)Nagios XI,、Nagios XI Docker Wizard,、Nagios XI WatchGuard Wizard和Nagios XI Switch Wizard的更新,解決了Team82私下披露的漏洞,。
除了及時(shí)更新那些受影響的系統(tǒng)外,,用戶還應(yīng)該遵守一些保證網(wǎng)絡(luò)管理系統(tǒng)安全的基本規(guī)則。
信任:這些系統(tǒng)需要廣泛的信任和對(duì)網(wǎng)絡(luò)組件的訪問(wèn),,以便正確地監(jiān)控網(wǎng)絡(luò)行為和性能,,防止故障和低效,。它們還可以通過(guò)防火墻擴(kuò)展到您的網(wǎng)絡(luò)之外,以處理遠(yuǎn)程服務(wù)器和連接,。因此,,這些集中式系統(tǒng)肯定是攻擊者的理想目標(biāo),攻擊者可以利用這類產(chǎn)品的漏洞,,并試圖通過(guò)入侵控制它來(lái)訪問(wèn),、操縱和破壞其他系統(tǒng)。
監(jiān)控:對(duì)網(wǎng)絡(luò)管理系統(tǒng)的訪問(wèn)應(yīng)受到密切監(jiān)視,,并僅限于有特權(quán)的內(nèi)部人士,。所有的連接和活動(dòng)都應(yīng)該被監(jiān)視和警告。