Security Affairs 网站披露,Outpost 24 的研究人员 Astrid Tedenbrant 在 Nagios XI 网络和 IT 基础架构监控与管理解决方案中发现四个漏洞,漏洞分别追踪为 CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934,可能导致信息泄露和权限升级。
Nagios XI 可监控所有关键任务基础设施组件,其中主要包括应用程序、服务、操作系统、网络协议、系统指标和网络基础设施,目前全球有成千上万的实体组织正在在使用它。
据悉,这些安全漏洞主要影响到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入问题,网络可利用这几个漏洞提升自身权限,并获取敏感的用户数据,包括密码哈希和 API 令牌。
漏洞 CVE-2023-40932 是一个通过自定义徽标组件的跨站点脚本问题,网络攻击者可以触发该安全漏洞来读取和修改目标受害者的页面数据(包括登录表单中的纯文本密码)。
Outpost24 在发布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三个漏洞允许具有不同权限级别的用户通过 SQL 注入访问数据库字段,从这些漏洞获得的数据可能用于进一步提升产品中的权限,并获取密码哈希和 API 令牌等敏感用户数据。
第四个漏洞(CVE-2023-40932)允许通过自定义徽标组件进行跨站点脚本编写,该组件将在每个页面上呈现,包括登录页面,这就可能被网络攻击者用来读取和修改页面数据,例如登录表单中的纯文本密码。
Nagios XI 公司于 2023 年 9 月 11 日发布了 5.11.2 版,解决了上述漏洞问题。
值得一提的是,2021 年 9 月,工业网络安全公司 Claroty 的研究人员也曾在 Nagios 中发现了 11 个漏洞。据悉,漏洞可能导致服务器端请求伪造(SSRF)、欺骗、本地权限升级、远程代码执行和信息泄露。
