sImplePerson
Member
-
23/03/2020
-
11
-
28 bài viết
Các lỗ hổng nghiêm trọng ảnh hưởng đến phần mềm giám sát Nagios
Các nhà nghiên cứu an ninh mạng đã thông báo chi tiết về 13 lỗ hổng, có trong ứng dụng giám sát mạng Nagios, có thể bị kẻ xấu lợi dụng để tấn công vào cơ sở hạ tầng mà không cần bất kỳ sự can thiệp nào của đơn vị điều hành.
Nagios là một công cụ cơ sở hạ tầng CNTT mã nguồn mở tương tự như SolarWinds Network Performance Monitor (NPM), cung cấp các dịch vụ giám sát và cảnh báo cho máy chủ, card mạng, ứng dụng và dịch vụ.
Các lỗ hổng, bao gồm sự kết hợp giữa thực thi mã từ xa được xác thực (RCE) và lỗi leo thang đặc quyền, đã được phát hiện và báo cáo cho Nagios vào tháng 10 năm 2020, và được khắc phục vào tháng 11/2020.
Nghiêm trọng nhất trong các lỗ hổng là CVE-2020-28648 (điểm CVSS: 8,8), liên quan đến xác thực đầu vào không đúng trong Auto-Discovery component của Nagios XI, điểm yếu này đã được các nhà nghiên cứu sử dụng làm điểm bắt đầu để kích hoạt chuỗi khai thác kết hợp với nhau. Tổng cộng năm lỗ hổng đã được sử dụng để đạt được một "cuộc tấn công upstream"
Kẻ tấn công sẽ nhắm mục tiêu máy chủ Nagios XI tại trang web của khách hàng, sử dụng CVE-2020-28648 và CVE-2020-28910 để thực thi mã từ xa và nâng cao đặc quyền lên "root". Với việc máy chủ đã bị kiểm soát, kẻ tấn công sau đó có thể gửi dữ liệu độc hại đến máy chủ Nagios Fusion, được dùng để cung cấp khả năng hiển thị toàn bộ cơ sở hạ tầng tập trung bằng cách thăm dò định kỳ các máy chủ Nagios XI.
Nhà nghiên cứu Samir Ghanem của Skylight Cyber cho biết: "Bằng cách gửi từ máy chủ XI những dữ liệu độc hại, chúng tôi có thể kích hoạt Cross-Site Scripting [CVE-2020-28903] và thực thi mã JavaScript trên các máy chủ Nagios Fusion".
Giai đoạn tiếp theo của cuộc tấn công, là tận dụng khả năng chạy mã JavaScript tùy ý trên máy chủ Fusion để RCE (CVE-2020-28905) và sau đó nâng cấp quyền (CVE-2020-28902) chiếm quyền kiểm soát máy chủ Fusion, cuối cùng là thâm nhập vào máy chủ XI đặt tại các trang web của khách hàng khác.
Các nhà nghiên cứu cũng đã xuất bản một công cụ backdoor khai thác dựa trên ngôn ngữ PHP có tên là SoyGun để xâu chuỗi các lỗ hổng lại với nhau và cho phép kẻ tấn công có thông tin đăng nhập của người dùng Nagios XI và quyền truy cập HTTP vào máy chủ Nagios XI để có toàn quyền kiểm soát việc triển khai Nagios Fusion
Bản tóm tắt về 13 lỗ hổng:CVE-2020-28648 - Nagios XI authenticated thực thi mã từ xa (từ tài khoản người dùng có đặc quyền thấp)
Nagios là một công cụ cơ sở hạ tầng CNTT mã nguồn mở tương tự như SolarWinds Network Performance Monitor (NPM), cung cấp các dịch vụ giám sát và cảnh báo cho máy chủ, card mạng, ứng dụng và dịch vụ.
Các lỗ hổng, bao gồm sự kết hợp giữa thực thi mã từ xa được xác thực (RCE) và lỗi leo thang đặc quyền, đã được phát hiện và báo cáo cho Nagios vào tháng 10 năm 2020, và được khắc phục vào tháng 11/2020.
Nghiêm trọng nhất trong các lỗ hổng là CVE-2020-28648 (điểm CVSS: 8,8), liên quan đến xác thực đầu vào không đúng trong Auto-Discovery component của Nagios XI, điểm yếu này đã được các nhà nghiên cứu sử dụng làm điểm bắt đầu để kích hoạt chuỗi khai thác kết hợp với nhau. Tổng cộng năm lỗ hổng đã được sử dụng để đạt được một "cuộc tấn công upstream"
Kẻ tấn công sẽ nhắm mục tiêu máy chủ Nagios XI tại trang web của khách hàng, sử dụng CVE-2020-28648 và CVE-2020-28910 để thực thi mã từ xa và nâng cao đặc quyền lên "root". Với việc máy chủ đã bị kiểm soát, kẻ tấn công sau đó có thể gửi dữ liệu độc hại đến máy chủ Nagios Fusion, được dùng để cung cấp khả năng hiển thị toàn bộ cơ sở hạ tầng tập trung bằng cách thăm dò định kỳ các máy chủ Nagios XI.
Nhà nghiên cứu Samir Ghanem của Skylight Cyber cho biết: "Bằng cách gửi từ máy chủ XI những dữ liệu độc hại, chúng tôi có thể kích hoạt Cross-Site Scripting [CVE-2020-28903] và thực thi mã JavaScript trên các máy chủ Nagios Fusion".
Giai đoạn tiếp theo của cuộc tấn công, là tận dụng khả năng chạy mã JavaScript tùy ý trên máy chủ Fusion để RCE (CVE-2020-28905) và sau đó nâng cấp quyền (CVE-2020-28902) chiếm quyền kiểm soát máy chủ Fusion, cuối cùng là thâm nhập vào máy chủ XI đặt tại các trang web của khách hàng khác.
Các nhà nghiên cứu cũng đã xuất bản một công cụ backdoor khai thác dựa trên ngôn ngữ PHP có tên là SoyGun để xâu chuỗi các lỗ hổng lại với nhau và cho phép kẻ tấn công có thông tin đăng nhập của người dùng Nagios XI và quyền truy cập HTTP vào máy chủ Nagios XI để có toàn quyền kiểm soát việc triển khai Nagios Fusion
Bản tóm tắt về 13 lỗ hổng:CVE-2020-28648 - Nagios XI authenticated thực thi mã từ xa (từ tài khoản người dùng có đặc quyền thấp)
- CVE-2020-28900 - Chuyển đặc quyền Nagios Fusion và XI từ nagios lên root thông qua upgrade_to_latest.sh
- CVE-2020-28901 - Chuyển đặc quyền Nagios Fusion từ apache sang nagios thông qua việc chèn lệnh trên tham số component_dir trong cmd_subsys.php
- CVE-2020-28902 - Chuyển đặc quyền Nagios Fusion từ apache sang nagios thông qua việc chèn lệnh trên tham số timezone trong cmd_subsys.php
- CVE-2020-28903 - XSS trong Nagios XI, khi kẻ tấn công có quyền kiểm soát máy chủ
- CVE-2020-28904 - Chuyển đặc quyền Nagios Fusion từ apache lên nagios thông qua việc cài đặt các thành phần độc hại
- CVE-2020-28905 - Thực thi mã từ xa đã xác thực Nagios Fusion (từ tài khoản người dùng có đặc quyền thấp)
- CVE-2020-28906 - Nagios Fusion và XI nâng cấp đặc quyền từ nagios lên root thông qua sửa đổi fusion-sys.cfg / xi-sys.cfg
- CVE-2020-28907 - Báo cáo đặc quyền Nagios Fusion từ apache đến root thông qua upgrade_to_latest.sh và sửa đổi cấu hình proxy
- CVE-2020-28908 - Chuyển đặc quyền Nagios Fusion từ apache sang nagios thông qua chèn lệnh trong cmd_subsys.php
- CVE-2020-28909 - Chuyển đặc quyền Nagios Fusion từ nagios sang root thông qua sửa đổi các tập lệnh có thể thực thi như sudo
- CVE-2020-28910 - Báo cáo đặc quyền getprofile.sh Nagios XI
- CVE-2020-28911 - Tiết lộ thông tin Nagios Fusion: Người dùng có đặc quyền thấp hơn có thể xác thực với máy chủ khi thông tin đăng nhập đã được lưu trữ
Nguồn The Hacker News