工業(yè)網(wǎng)絡安全公司Claroty的研究人員在Nagios廣泛使用的網(wǎng)絡管理產品中發(fā)現(xiàn)了近12個漏洞,。這些缺陷可能會給組織帶來嚴重的風險,，因為這些類型的產品可能成為惡意攻擊者的誘人目標。已發(fā)現(xiàn)影響Nagios XI、XI Switch Wizard,、XI Docker Wizard和XI WatchGuard的11個安全漏洞。供應商在8月份發(fā)布了針對每個受影響產品的補丁,。Nagios的產品有著非常廣泛的行業(yè)覆蓋率,，政府、教育,、醫(yī)療保健和醫(yī)學,、軍用、國防工業(yè),、研究與開發(fā),、制造業(yè)、零售,、能源,、電信、銀行與金融,，等等,，許多知名企業(yè)如康卡斯特（Comcast）、殼牌（Shell）,、DHL,、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）,、西門子,、東芝都是其客戶。因此,，Claroty公司的研究人員不無擔心地指出,，網(wǎng)絡安全行業(yè)和用戶應當特別關注這批漏洞和受影響產品的升級更新，謹防類似Solarwinds和Kaseya軟件供應鏈攻擊事件重演,。

　　這一漏洞披露為何如此重要,？

　　Nagios Core是一種流行的開源工具，用于監(jiān)視IT基礎設施的性能問題,、事件調度和處理,、警報以及與網(wǎng)絡運行狀況相關的更多功能。Nagios XI是一個使用Nagios Core的基于web的專有平臺,。XI通過增加額外的特性來增強IT操作,，從而擴展了Core的能力,。網(wǎng)絡運營中心（NOC）員工和系統(tǒng)管理員使用該平臺查看被管理服務器和工作站的當前狀態(tài)。Nagios表示,，全球有數(shù)千家組織使用其軟件監(jiān)控網(wǎng)絡,，康卡斯特（Comcast）、殼牌（Shell）,、DHL,、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）,、西門子,、東芝（Toshiba）、Thales,、Yahoo等知名公司都在其網(wǎng)站上被列為用戶,。

　　之所以這個Nagios XI的漏洞讓人如此關注，就是因為它作為網(wǎng)絡管理產品的特殊地位和作用,。你一定不會忘記SolarWinds和Kaseya攻擊事件，它們對IT和網(wǎng)絡管理供應鏈的核心的破壞性入侵,，是多么的讓人觸目驚心,。在這兩個案例中，所謂的國家威脅行為者都能夠滲透到供應商用來向客戶發(fā)送軟件更新的機制中,，并用包括勒索軟件在內的惡意軟件感染這些更新,。在這兩種情況下，成千上萬的客戶安裝了受損的更新,，兩家供應商與客戶建立的信任受到了嚴重損害,。

　　SolarWinds和Kaseya成為目標可能不僅是因為它們龐大且有影響力的客戶基礎，還因為它們各自的技術可以接入企業(yè)網(wǎng)絡,，無論是管理IT,、運營技術（OT）還是物聯(lián)網(wǎng)（IoT）設備。網(wǎng)絡管理系統(tǒng)對企業(yè)網(wǎng)絡中的核心服務器,、設備和其他關鍵組件進行監(jiān)控,；此外，考慮到這些系統(tǒng)用于監(jiān)視服務器,，它們通常包含許多網(wǎng)絡秘密,，如憑證或API令牌，這些對攻擊者很有吸引力,。因此,，你不能不聯(lián)想Nagios XI同樣會成為攻擊者的重點目標。

　　Nagios公司在中國有業(yè)務開展,，其中文網(wǎng)站宣傳的產品優(yōu)勢主要有八個方面,，如下圖所示：

　　Nagios的解決方案覆蓋眾多行業(yè)部門,，包括政府、教育,、醫(yī)療保健和醫(yī)學,、軍用、國防工業(yè),、研究與開發(fā),、制造業(yè)、零售,、能源,、電信、銀行與金融,、運輸及物流,、航天、執(zhí)法,、應急管理,、旅游、媒體,、服務,、非營利等。

　　11個漏洞概況

　　Team82團隊的研究發(fā)現(xiàn)了Nagios XI可利用的11個漏洞,，可能導致遠程代碼執(zhí)行,，憑據(jù)盜竊，網(wǎng)絡釣魚攻擊,，本地升級特權用戶權限等,。通過組合利用其中一些漏洞，攻擊者可以使用高權限（root）實現(xiàn)身份驗證后的遠程代碼執(zhí)行,。

　　CVE-2021-37353: 1.1.3版本之前的Nagios XI Docker Wizard容易受到服務器端請求偽造（SSRF）的攻擊,，原因是table_population.php中的不正確的衛(wèi)生處理；

　　CVE-2021-37352: Nagios XI在5.8.5版本之前存在一個開放重定向漏洞,，可能導致欺騙,。要利用該漏洞，攻擊者可以發(fā)送一個具有特殊URL的鏈接,，并說服用戶單擊該鏈接,。

　　CVE-2021-37351: 5.8.5版本之前的Nagios XI容易受到不安全權限的攻擊，允許未經(jīng)身份驗證的用戶通過對服務器的精心設計的HTTP請求訪問受保護的頁面,。

　　CVE-2021-37350: Nagios XI 5.8.5版本之前的批量修改工具存在SQL注入漏洞,，原因是輸入清理不當。

　　CVE-2021-37349: 5.8.5版本之前的Nagios XI容易受到本地權限提升的影響,，因為cleaner.php不清理從數(shù)據(jù)庫讀取的輸入,。

　　CVE-2021-37348: 在5.8.5版本之前的Nagios XI很容易通過對index.php中的路徑名的不當限制而包含本地文件,。

　　CVE-2019-37347: 5.8.5版本之前的Nagios XI容易受到本地權限提升的影響，因為getprofile.sh不驗證它接收到的作為參數(shù)的目錄名,。

　　CVE-2021-37346: 版本1.4.8之前的Nagios XI WatchGuard Wizard容易受到遠程代碼執(zhí)行的攻擊,，原因是OS命令中使用的特殊元素被不當中和（操作系統(tǒng)命令注入）。

　　CVE-2021-37345: 5.8.5版本之前的Nagios XI容易受到本地權限提升的影響,，因為一些權限提升的腳本正在從/var目錄導入到XI-sys.cfg,。

　　CVE-2021-37344: 2.5.7版之前的Nagios XI Switch Wizard容易受到遠程代碼執(zhí)行的攻擊，因為它會對操作系統(tǒng)命令中使用的特殊元素進行不恰當?shù)闹泻停ú僮飨到y(tǒng)命令注入）,。

　　CVE-2021-37343: Nagios XI5.8.5版的AutoDiscovery組件存在路徑遍歷漏洞,，可能導致運行Nagios的用戶的安全上下文下的后認證RCE。

　　Claroty創(chuàng)建了一個概念驗證（PoC）漏洞,，展示了經(jīng)過身份驗證的攻擊者如何將一些漏洞鏈接起來,，以使用根權限執(zhí)行shell命令。

　　Nagios XI使用許多腳本和可執(zhí)行文件,，并支持SNMP,、SSH和Windows Management Instrumentation （WMI）等協(xié)議來調用命令并從其監(jiān)視的設備派生統(tǒng)計信息。為了能夠使用這些協(xié)議,，配置設備的IT管理員必須向Nagios XI提供憑據(jù),，以便連接到這些設備。這些憑據(jù)保存在Nagios數(shù)據(jù)庫中以供進一步使用,。Nagios還允許安裝插件，從而擴展了Nagios XI的功能,。缺點是,，這也擴展了威脅參與者可用的攻擊面，并增加了可能存在的漏洞的數(shù)量,。

　　雖然在很多情況下使用Nagios都需要身份驗證,，但研究人員指出，Nagios XI極大地擴展了平臺的攻擊面的另一個特性是自動登錄特性,。這個特性在構建時考慮到了NOC管理員,，它允許Nagios管理員設置一個只讀用戶帳戶，任何用戶都可以連接該帳戶,，而不需要憑據(jù),。雖然該特性可能對NOC有用，但允許用戶輕松連接到平臺并查看信息,，而不需要憑據(jù),，也允許攻擊者獲得平臺中的用戶帳戶的訪問權，從而使任何認證后漏洞無需身份驗證就可以利用,。

　　安全建議

　　今年8月,，Nagios通過對Nagios XI,、Nagios XI Docker Wizard、Nagios XI WatchGuard Wizard和Nagios XI Switch Wizard的更新,，解決了Team82私下披露的漏洞,。

　　除了及時更新那些受影響的系統(tǒng)外，用戶還應該遵守一些保證網(wǎng)絡管理系統(tǒng)安全的基本規(guī)則,。

　　信任：這些系統(tǒng)需要廣泛的信任和對網(wǎng)絡組件的訪問,，以便正確地監(jiān)控網(wǎng)絡行為和性能，防止故障和低效,。它們還可以通過防火墻擴展到您的網(wǎng)絡之外,，以處理遠程服務器和連接。因此,，這些集中式系統(tǒng)肯定是攻擊者的理想目標,，攻擊者可以利用這類產品的漏洞，并試圖通過入侵控制它來訪問,、操縱和破壞其他系統(tǒng),。

　　監(jiān)控：對網(wǎng)絡管理系統(tǒng)的訪問應受到密切監(jiān)視，并僅限于有特權的內部人士,。所有的連接和活動都應該被監(jiān)視和警告,。