Nagios XI, BT altyapısı ve ağ izleme için öne çıkan ve sıklıkla kullanılan bir ticari izleme sistemidir.
Güvenlik Açığı Araştırma Mühendisi Astrid Tedenbrant, rutin araştırma yaparken Nagios XI’de (versiyon 5.11.1 ve altı) dört farklı güvenlik açığı buldu.
(CVE-2023-40931, CVE-2023-40933 ve CVE-2023-40934) olarak sınıflandırılan bu kusurlardan üçünü kullanarak, çeşitli erişim haklarına sahip kullanıcılar, SQL enjeksiyonu yoluyla veritabanı alanına erişim sağlayabilirler.
Ayrıca, güvenlik açığı (CVE-2023-40932), Özel Logo bileşeni aracılığıyla Siteler Arası Komut Dosyası Çalıştırılmasına ve oturum açma sayfası da dahil olmak üzere tüm sayfalarda görüntülenmesine izin verir.
Güvenlik Açıklarının Ayrıntıları
Banner’da uç noktayı kabul eden SQL Enjeksiyonu (CVE-2023-40931)
“Duyuru Banner’ları” Nagios XI’in kullanıcıların tanımayı seçebileceği bir özelliğidir. Bu özelliğin uç noktası SQL Enjeksiyon saldırısına açıktır.
Bir kullanıcı bir banner’ı onayladığında, ‘action=acknowledge banner message&id=3’ POST verileriyle ‘/nagiosxi/admin/banner_message-ajaxhelper.php’ adresine bir POST isteği yapılır.
Araştırmacı, “Kimlik parametresinin güvenilir olduğu varsayılıyor ancak arındırılmadan doğrudan müşteriden geliyor” diye açıklıyor.
“Bu, düşük ayrıcalıklara sahip veya hiç ayrıcalıklara sahip olmayan kimliği doğrulanmış bir kullanıcının, e-postalar, kullanıcı adları, karma şifreler, API belirteçleri ve arka uç biletleri gibi verileri içeren ‘xi_session’ ve ‘xi_users’ tablosundan hassas verileri alabildiği bir SQL Enjeksiyonuna yol açar ”.
CCM’de Ana Bilgisayar/Hizmet Yükseltmesinde SQL Enjeksiyonu (CVE-2023-40934)
Ana bilgisayar yükseltmelerini kontrol etme erişimi olan yetkili bir kullanıcı, Nagios XI’in Temel Yapılandırma Yöneticisini kullanarak herhangi bir veritabanı sorgusunu çalıştırabilir.
CVE-2023-40931’den daha fazla ayrıcalık gerektirse de, önceki SQL Enjeksiyon güvenlik açıklarıyla aynı veritabanı erişimi bu güvenlik açığı aracılığıyla da mümkündür.
Duyuru Banner Ayarlarına SQL Ekleme (CVE-2023-40933)
Bu durumda, etkilenen uç noktada “update_banner_message_settings” eylemi gerçekleştirilirken “id” parametresinin güvenilir olduğu varsayılır ve hiçbir temizleme işlemi olmadan bir veritabanı sorgusunda birleştirilir. Araştırmacı, bunun saldırganın sorguyu değiştirmesine olanak tanıdığını söyledi.
CVE-2023-40931 ile karşılaştırıldığında, bu güvenlik açığından başarıyla yararlanılması daha fazla ayrıcalık gerektirir ancak diğer iki SQL Enjeksiyon Güvenlik Açığı ile aynı veritabanı erişimini sağlar.
Özel Logo Bileşeninde Siteler Arası Komut Dosyası Çalıştırma (CVE-2023-40932)
Raporlar, Nagios XI’in, ürünün tamamında görülebilecek benzersiz bir kurumsal logo içerecek şekilde değiştirilebileceğini söylüyor. Buna giriş sayfası, çeşitli yönetim sayfaları ve açılış sayfası dahildir.
Bu işlevsellikteki siteler arası komut dosyası çalıştırma kusuru, bir saldırganın herhangi bir kullanıcının tarayıcısının çalıştırabileceği rastgele JavaScript eklemesine olanak tanır.
“Bu, sayfa verilerini okumak ve değiştirmek, ayrıca etkilenen kullanıcı adına eylemler gerçekleştirmek için kullanılabilir. Düz metin kimlik bilgileri, kullanıcıların tarayıcılarına girerken çalınabilir.” dedi.
Düzeltme Mevcut
Bu güvenlik açıklarının tümü düzeltildi ve kullanıcıların 5.11.2 veya sonraki bir sürüme güncelleme yapmaları teşvik ediliyor.
Açık kaynaklı Nagios Core izleme platformunun ticari versiyonu olan Nagios XI, karmaşık BT ayarlarının yönetimini kolaylaştıran daha fazla işlevsellik sunar.
Nagios XI’in gerektirdiği erişim nedeniyle yüksek ayrıcalıklı durumlarda sıklıkla kullanılıyor ve bu da onu saldırganlar için çekici bir hedef haline getiriyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.