Nagios XI Ağ İzleme Yazılımında Açığa Çıkan Kritik Güvenlik Kusurları


20 Eylül 2023THNAğ Güvenliği / Güvenlik Açığı

Nagios XI Ağ İzleme Yazılımı

Nagios XI ağ izleme yazılımında ayrıcalık artışına ve bilgilerin ifşa edilmesine yol açabilecek çok sayıda güvenlik açığı ortaya çıktı.

CVE-2023-40931’den CVE-2023-40934’e kadar takip edilen dört güvenlik açığı, Nagios XI’nin 5.11.1 ve önceki sürümlerini etkiliyor. 4 Ağustos 2023’teki sorumlu açıklamanın ardından, 11 Eylül 2023 itibarıyla 5.11.2 sürümünün yayınlanmasıyla yama uygulandı.

Outpost24 araştırmacısı Astrid Tedenbrant, “Bu güvenlik açıklarından üçü (CVE-2023-40931, CVE-2023-40933 ve CVE-2023-40934), çeşitli ayrıcalık düzeylerine sahip kullanıcıların SQL Enjeksiyonları aracılığıyla veritabanı alanlarına erişmesine olanak tanıyor.” dedi.

Siber güvenlik

“Bu güvenlik açıklarından elde edilen veriler, üründeki ayrıcalıkları daha da artırmak ve şifre karmaları ve API belirteçleri gibi hassas kullanıcı verilerini elde etmek için kullanılabilir.”

Öte yandan CVE-2023-40932, Özel Logo bileşenindeki, oturum açma sayfasındaki şifresiz metin şifreleri de dahil olmak üzere hassas verileri okumak için kullanılabilecek bir siteler arası komut dosyası çalıştırma (XSS) kusuruyla ilgilidir.

Kusurların listesi aşağıda açıklanmıştır –

  • CVE-2023-40931 – Banner’da uç noktayı kabul eden SQL Enjeksiyonu
  • CVE-2023-40932 – Özel Logo Bileşeninde Siteler Arası Komut Dosyası Çalıştırma
  • CVE-2023-40933 – Duyuru Banner Ayarlarında SQL Enjeksiyonu
  • CVE-2023-40934 – Çekirdek Yapılandırma Yöneticisinde (CCM) Ana Bilgisayar/Hizmet Yükseltmesinde SQL Enjeksiyonu

Üç SQL enjeksiyon güvenlik açığının başarılı bir şekilde kullanılması, kimliği doğrulanmış bir saldırganın rastgele SQL komutları yürütmesine olanak tanırken, XSS hatası, rastgele JavaScript enjekte etmek ve sayfa verilerini okumak ve değiştirmek için kullanılabilir.

Bu, Nagios XI’de ortaya çıkan güvenlik sorunlarının ilk seferi değil. 2021’de Skylight Cyber ​​ve Claroty, altyapıyı ele geçirmek ve uzaktan kod yürütmek için kötüye kullanılabilecek iki düzine kadar kusur keşfetti.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link