Nagios XI 2024R1.2.2’de bir güvenlik açığı, CVE-2024-54961tanımlanmamış saldırganların ağ izleme platformundan kullanıcı adları ve e -posta adresleri de dahil olmak üzere hassas kullanıcı bilgilerini almalarına izin veren açıklandı.
Bu yüksek şiddetli kusur (CVSSV3 puanı: 6.5) kuruluşları, kimlik avı kampanyaları risklerini, kimlik bilgisi-shuffing saldırılarına ve uzlaşmış ağlardaki yanal harekete maruz bırakır.
Güvenlik açığının teknik dökümü
Güvenlik açığı, Nagios XI’nin web arayüzünde uygunsuz erişim kontrollerinde bulunur.
Kimliksiz saldırganlar, hassas verileri kısıtlamak için tasarlanmış kimlik doğrulama mekanizmalarını atlayarak hazırlanmış HTTP istekleri aracılığıyla birden fazla yönetim sayfasına doğrudan erişebilir.
Sömürü gelişmiş araçlar veya teknikler gerektirmez – saldırılar, düz metin kullanıcı adlarını ve ilişkili e -posta adreslerini çıkarmak için yalnızca kullanıcı yönetimi veya sistem yapılandırma panelleri gibi savunmasız uç noktalara gitmelidir.
Bu bilgi açıklama kusuru (CWE-200), kullanıcı oturumlarının yetersiz doğrulanmasından kaynaklanmaktadır.
Nagios XI 2024R1.2.2, belirli API uç noktaları için izinleri doğrulayamaz ve kullanıcı hesaplarının yetkisiz numaralandırılmasını sağlar.
Güvenlik araştırmacıları, maruz kalan e-posta adreslerinin hedeflenen sosyal mühendislik saldırılarını kolaylaştırabileceğini belirtirken, kullanıcı adları rakiplere kaba kuvvet şifre tasarlama girişimleri için bir başlangıç noktası sağlıyor.
Kurumsal Güvenlik için Çıkarımlar
Kullanıcı kimlik bilgilerinin maruz kalması anında riskler doğurur:
- Kimlik avı hızlandırması: Saldırganlar, meşru e-posta adreslerini kullanarak hiper kişiselleştirilmiş kimlik avı e-postaları oluşturabilir ve başarılı kimlik bilgisi hasat olasılığını artırabilir.
- Şifre saldırıları: Geçerli kullanıcı adlarıyla, düşmanlar Nagios XI’nin web arayüzüne karşı giriş girişimlerini otomatikleştirebilir veya kurumsal sistemler arasında yeniden kullanılan kimlik bilgileri olabilir.
- Tedarik zinciri uzlaşması: Nagios XI genellikle Active Directory gibi ayrıcalıklı sistemlerle bütünleşir; Meyveden çıkarılan kimlik bilgileri daha geniş altyapıya erişim sağlayabilir.
Özellikle, bu güvenlik açığı Nagios XI’de bir erişim kontrol arızası modelini sürdürür.
2023’te dört kritik kusur (CVE-2023-40931 ila CVE-2023-40934), SQL enjeksiyonu ve siteler arası komut dosyası (XSS) yoluyla benzer veri çıkarmaya izin verdi ve platformun güvenlik mimarisindeki sistemik sorunları vurguladı.
Azaltma ve yanıt
Nagios Enterprises, sonraki sürümlerde yamalar yayınladı ve tüm kullanıcıları hemen Nagios XI 2024R1.2.3 veya üstüne yükseltmeye çağırdı.
Yama yapamayan kuruluşlar:
- Güvenlik duvarı kurallarını kullanarak Nagios XI arabirimlerine ağ erişimini kısıtlayın.
- Yetkisiz erişimi engellemek için web uygulaması güvenlik duvarlarını (WAF) uygulayın
/nagiosxi/admin/Yollar. - Kullanıcı yönetimi uç noktalarına olağandışı erişim modelleri için günlükleri izleyin.
Tarihsel bağlam ve kalıcı riskler
Bu açıklama, Nagios XI’de uzaktan kod yürütme kusurları da dahil olmak üzere 24 güvenlik açığını ortaya koyan 2021 denetimi izlemektedir.
Kimlik doğrulama bypass sorunlarının tekrarlanması, karmaşık izleme platformlarını güvence altına alma zorluklarının altını çizmektedir.
İşletmeler, eski Nagios dağıtımlarının açıklanmayan güvenlik açıklarını taşımalı ve izleme sistemleri için sıfır tröst ilkelerini benimsemelidir.
CVE-2024-54961, ağ izleme araçlarının doğasında var olan risklerin kritik bir hatırlatıcısı olarak hizmet eder.
Güvenlik ekipleri yama, segment izleme altyapısına öncelik vermeli ve düzenli erişim kontrol denetimleri yapmalıdır.
Saldırganlar giderek daha fazla operasyonel teknolojiyi hedefledikçe, Nagios XI gibi platformları güvence altına almak, gelişmekte olan siber tehditlere karşı örgütsel esnekliği korumak için gerekli hale geliyor.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here