Nagios XI网络监控应用曝出远程命令执行漏洞(需授权)

iso60001  267天前

2019年1月,白帽汇安全研究院发现外网有人公开了企业服务器和网络监控软件Nagios XI的一个远程命令执行漏洞。攻击者在登录系统后,可以向应用发送精心构造的恶意请求,造成远程命令执行。根据漏洞发现者的说法,最新的5.6.9版本也受到影响。

22.png

Nagios XI是一种企业级服务器和网络监控软件,能帮助用户对所有关键任务基础架构组件进行监视,包括应用,服务,操作系统,网络协议,系统指标和网络基础架构等都包括在内。此外还有数百个第三方插件可用于监视内​外部几乎所有的应用,服务和系统。

概况

目前FOFA系统最新数据(一年内数据)显示全球范围内共有2724个Nagios XI应用对外开放服务。美国使用数量最多,共有1186个,印度第二,共有136个,澳大利亚第三,共有90个,德国第四,共有89个,法国第五,共有80个。

全球范围内Nagios XI应用分布情况如下(仅为分布情况,非漏洞影响情况)。

4444.png

中国大陆地区北京市使用数量最多,共有12个,广东省第二,共有7个,浙江省第三,共有7个,江苏省第四,共有3个,湖南省第五,共有2个。

中国大陆范围内ThinkPHP网站分布情况如下(仅为分布情况,非漏洞影响情况)。

5555.png

危害等级

严重

漏洞原理

Nagios XI应用有一个定时任务功能,是通过系统的计划任务驱动执行某个PHP文件实现的。

222.png

但由于缺乏安全检查,且存在命令拼接,导致攻击者可通过往相关请求中的参数id插入恶意命令,实现远程命令执行。

333.png

444.png

漏洞影响

目前漏洞影响软件最新版本5.6.9,其他版本尚未测试。

CVE编号

暂无 

修复建议

目前官网还未发布更新,请相关用户时刻关注官方更新页面https://www.nagios.com/downloads/nagios-xi/

参考

[1] https://mp.weixin.qq.com/s/ObUn17hVIcs5sLsyuMqCsQ

[2] https://www.nagios.com/products/nagios-xi/

[3] https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论