Nagios XI 2024R1.2.2’de önemli bir güvenlik açığı (CVE-2024-54961) tespit edilmiştir, bu da kimlik doğrulanmamış saldırganların kullanıcı adları ve e-posta adresleri de dahil olmak üzere hassas kullanıcı bilgilerini almalarını sağlar.
Bir bilgi açıklama güvenlik açığı (CWE-200) olarak sınıflandırılan bu kusur, organizasyonel kullanıcı dizinlerini kimlik avı kampanyalarında veya kimlik bilgisi-büro saldırılarında potansiyel kötüye kullanmaya maruz bırakır.
Nagios XI Güvenlik Açığı
Güvenlik açığı, birden fazla yönetim uç noktası için uygunsuz erişim kontrollerinde bulunur. /Nagiosxi/admin/userpreferences.php ve /nagiosxi/includes/ajax/notifikation-handlers.inc.php.php gibi kullanıcı meta verileri içeren json yükleri.
Saldırganlar basit HTTP GET taleplerini hazırlayarak kullanabilir:
Sunucu şu şekilde yapılandırılmış verilerle yanıt verir:
Bu, Nagios Xi’nin bu uç noktaları yanlışlıkla kamu kaynakları olarak ele alan oturum doğrulama mekanizmalarını atlar.
Şubat 2025 itibariyle aktif istismarlar gözlenmemiştir, ancak bu saldırı vektörünün sadeliği acil iyileştirmeyi gerektirir.
Etki ve sömürü senaryoları
Tazmin edilmiş e -posta adresleri ve kullanıcı adları, saldırganlara keşif verileri sunar:
- Nagios temalı yemlerden yararlanan hedeflenen kimlik avı kampanyalarını başlatın.
- Ayrıcalıklı hesaplar için kaba kuvvet kimlik bilgileri (örn. Nagiosadmin).
- Kimlik bilgisi-shuffing saldırıları için şifre dökümleri ile çapraz referans verileri.
Güvenlik açığı, kullanıcı listelerinin harici istemcileri veya üçüncü taraf entegratörleri içerebileceği çok kiracılı dağıtımlarda özellikle kritiktir.
Azaltma ve yanıt
Nagios Enterprises, sonraki sürümlerde bu kusuru ele aldı. Yöneticiler:
- Hemen Nagios XI 2024R1.2.3 veya üstüne yükseltin.
- Denetim Kullanıcısı, Grep ‘başarısız giriş’ /usr/local/nagiosxi/var/auth.log kullanarak anormal etkinliği hesaplar.
- Güvenilmeyen ağlardan/nagiosxi/admin/yollara erişimi kısıtlamak için ağ düzeyinde kontroller uygulayın.
Bu olay, CVE-2021-25296 (WMI Sihirbazı aracılığıyla RCE) ve CVE-2018-15708 (ayrıcalık artış) gibi geçmiş güvenlik açıkları da dahil olmak üzere Nagios XI’deki bir erişim kontrol arızası modelini takip eder.
Nüks, kritik altyapı kimlik bilgilerini yöneten izleme platformlarında titiz uç nokta testinin önemini vurgulamaktadır.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun