Nagios の深刻な脆弱性:IT インフラが乗っ取られる可能性

New Nagios Software Bugs Could Let Hackers Take Over IT Infrastructures

2021.09/22 TheHackerNews —ネットワーク管理システム Nagios において、11件のセキュリティ脆弱性が公開されているが、そのうちの、いくつかは、pre-auth の最高権限で連鎖的にリモートコード実行を可能にするほか、認証情報の窃取や、フィッシング攻撃につながる可能性がある。

この欠陥を発見した Claroty は、「Nagios のようなツールの欠陥は、企業ネットワークのコアサーバー/デバイス/重要なコンポーネント類を監視するという点で、魅力的なターゲットになる」と述べている。

この問題は、8月にリリースされた Nagios XI 5.8.5 以上、および、Nagios XI Switch Wizard 2.5.7 以上、Nagios XI Docker Wizard 1.13 以上、Nagios XI WatchGuard 1.4.8 以上のアップデートで修正されている。

Claroty の Noam Moshe は、火曜日に発表した記事の中で、「SolarWinds と Kaseya が標的にされたのは、大規模で影響力のある顧客基盤を持っているだけではなく、IT/OT/IoT デバイスの管理などの各テクノロジーが、企業ネットワークにアクセスできる点に理由があったと思われる。IT およびネットワーク管理のサプライチェーンを標的とした侵入行為が、何千ものダウンストリーム・ユーザーを、危険にさらす、導線として機能している」と指摘している。

Nagios Core は、SolarWinds の Network Performance Monitor (NPM) に類似した、オープンソースのネットワーク管理ツールであり、IT インフラにおけるパフォーマンス問題の監視や、ミッション・クリティカル・コンポーネントの障害発生時に、アラートを送信することなどに使われている。Nagios XIは、Nagios Core 上に構築された独自の Web ベースのプラットフォームであり、ホスト/サービス/ネットワーク・デバイスの拡張可能な監視などにより、企業の IT 運用に関する幅広い洞察を提供している。

主な問題は、Nagios XI Switch Wizard および Nagios XI WatchGuard Wizard におけるリモートコード実行の不具合 (CVE-2021-37344 CVE-2021-37346) および、Nagios XI における SQL インジェクションの脆弱性 (CVE-2021-37350)、Nagios XI Docker Wizard に影響を与える SSRF、Nagios XIのAuto-Discovery ツールにおける認証後の RCE となる。11件の欠陥の、全リストは次のとおりである。

• CVE-2021-37343 (CVSS score: 8.8) – A path traversal vulnerability exists in Nagios XI below version 5.8.5 AutoDiscovery component and could lead to post-authenticated RCE under the security context of the user running Nagios.
• CVE-2021-37344 (CVSS score: 9.8) – Nagios XI Switch Wizard before version 2.5.7 is vulnerable to remote code execution through improper neutralization of special elements used in an OS Command (OS Command injection).
• CVE-2021-37345 (CVSS score: 7.8) – Nagios XI before version 5.8.5 is vulnerable to local privilege escalation because xi-sys.cfg is being imported from the var directory for some scripts with elevated permissions.
• CVE-2021-37346 (CVSS score: 9.8) – Nagios XI WatchGuard Wizard before version 1.4.8 is vulnerable to remote code execution through Improper neutralization of special elements used in an OS Command (OS Command injection).
• CVE-2021-37347 (CVSS score: 7.8) – Nagios XI before version 5.8.5 is vulnerable to local privilege escalation because getprofile.sh does not validate the directory name it receives as an argument.
• CVE-2021-37348 (CVSS score: 7.5) – Nagios XI before version 5.8.5 is vulnerable to local file inclusion through an improper limitation of a pathname in index.php.
• CVE-2021-37349 (CVSS score: 7.8) – Nagios XI before version 5.8.5 is vulnerable to local privilege escalation because cleaner.php does not sanitize input read from the database.
• CVE-2021-37350 (CVSS score: 9.8) – Nagios XI before version 5.8.5 is vulnerable to SQL injection vulnerability in Bulk Modifications Tool due to improper input sanitization.
• CVE-2021-37351 (CVSS score: 5.3) – Nagios XI before version 5.8.5 is vulnerable to insecure permissions and allows unauthenticated users to access guarded pages through a crafted HTTP request to the server.
• CVE-2021-37352 (CVSS score: 6.1) – An open redirect vulnerability exists in Nagios XI before version 5.8.5 that could lead to spoofing. To exploit the vulnerability, an attacker could send a link that has a specially-crafted URL and convince the user to click the link.
• CVE-2021-37353 (CVSS score: 9.8) – Nagios XI Docker Wizard before version 1.1.3 is vulnerable to SSRF due to improper sanitization in table_population.php

ひとことで言えば、これらの欠陥を組み合わせることで、Web シェルのドロップや、PHP スクリプトの実行などにより、権限を root に昇格させ、root ユーザーのコンテキストで任意のコマンドを実行できるようになる。PoC エクスプロイトとして、Claroty は CVE-2021-37343 と CVE-2021-37347 を連鎖させ、write-what-where プリミティブを獲得し、システム内の任意のファイルにコンテンツを書き込めることが確認されている。

Moshe は、「ネットワーク管理システムは、ネットワークの動作や性能の適切な監視や、障害や効率の監視を行うために、ネットワーク・コンポーネントに対する広範な信頼とアクセスを必要とする。また、ファイアウォールを介してネットワークの外に出て、遠隔地のサーバーや接続を監視することもある。したがって、このような集中型のシステムは、ネットワーク・ハブを悪用する他システムへのアクセス/操作/破壊を目的とした侵害を試みる、攻撃者にとって最高のターゲットとなり得る」と述べている。

今回の公開は、Nagios に多数の脆弱性が公開された2回目のケースである。今年の5月には、Skylight Cyber が、ネットワーク監視アプリケーションにおいて、13件のセキュリティ上の欠陥が見つかったと公表している。この脆弱性を悪用する攻撃者は、オペレーターの介入なしにインフラを乗っ取ることができる。

脆弱性情報を拾っていると、Nagios 関連のトピックを目にすることがありますが、これほど CVSS スコアの高いものが、大量に出てくるのは珍しいことだと感じます。先日に、VMware vCenter Server が乗っ取られる可能性があるという記事をポストしましたが、この Nagios もモニタリング系だけに、 乗っ取られると大変なことになります。一連の脆弱性をご確認ください。

%d bloggers like this: