Nagios XI网络监控应用曝出远程命令执行漏洞（需授权）

2019年1月，白帽汇安全研究院发现外网有人公开了企业服务器和网络监控软件Nagios XI的一个远程命令执行漏洞。攻击者在登录系统后，可以向应用发送精心构造的恶意请求，造成远程命令执行。根据漏洞发现者的说法，最新的5.6.9版本也受到影响。

Nagios XI是一种企业级服务器和网络监控软件，能帮助用户对所有关键任务基础架构组件进行监视，包括应用，服务，操作系统，网络协议，系统指标和网络基础架构等都包括在内。此外还有数百个第三方插件可用于监视内​外部几乎所有的应用，服务和系统。

概况

目前FOFA系统最新数据（一年内数据）显示全球范围内共有2724个Nagios XI应用对外开放服务。美国使用数量最多，共有1186个，印度第二，共有136个，澳大利亚第三，共有90个，德国第四，共有89个，法国第五，共有80个。

全球范围内Nagios XI应用分布情况如下（仅为分布情况，非漏洞影响情况）。

中国大陆地区北京市使用数量最多，共有12个，广东省第二，共有7个，浙江省第三，共有7个，江苏省第四，共有3个，湖南省第五，共有2个。

中国大陆范围内ThinkPHP网站分布情况如下（仅为分布情况，非漏洞影响情况）。

危害等级

严重

漏洞原理

Nagios XI应用有一个定时任务功能，是通过系统的计划任务驱动执行某个PHP文件实现的。

但由于缺乏安全检查，且存在命令拼接，导致攻击者可通过往相关请求中的参数id插入恶意命令，实现远程命令执行。

漏洞影响

目前漏洞影响软件最新版本5.6.9，其他版本尚未测试。

CVE编号

暂无 

修复建议

目前官网还未发布更新，请相关用户时刻关注官方更新页面https://www.nagios.com/downloads/nagios-xi/。

参考

[1] https://mp.weixin.qq.com/s/ObUn17hVIcs5sLsyuMqCsQ

[2] https://www.nagios.com/products/nagios-xi/

[3] https://code610.blogspot.com/2019/12/postauth-rce-in-latest-nagiosxi.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。