Critical Security Flaws Exposed in Nagios XI Network Monitoring Software
2023/09/20 TheHackerNews — ネットワーク監視ソフトウェア Nagios XI で発見された複数の脆弱性により、特権の昇格や情報漏洩の可能性があることが明らかになった。それらの4つの脆弱性は、CVE-2023-40931 〜 CVE-2023-40934 であり、Nagios XI のバージョン 5.11.1 以下に影響を及ぼす。2023年8月4日に報告を受けた Nagios は、2023年9月11日にパッチ適用したバージョン 5.11.2 をリリースしている。
Outpost24 の研究者である Astrid Tedenbrant は、「これらの脆弱性のうち3つ (CVE-2023-40931/CVE-2023-40933/CVE-2023-40934) は、各種の権限を持つユーザーに対して、SQL インジェクションを介したデータベース・フィールドへのアクセスを許してしまう。これらの脆弱性からデータを得た攻撃者は、さらに特権をエスカレートさせ、パスワードハッシュや API トークンなどの、機密ユーザー・データの不正取得を達成する可能性がある」と述べている。
その一方で、脆弱性 CVE-2023-40932 は、Custom Logo Component に存在するクロス・サイト・スクリプティング (XSS) 欠陥であり、ログイン・ページ上での平文パスワードなどの、機密データを読み取るために悪用される可能性がある。
欠陥のリストは以下の通りだ:
- CVE-2023-40931:Banner 確認エンドポイントにおける SQL インジェクション。
- CVE-2023-40932 :Custom Logo Component における XSS。
- CVE-2023-40933:Announcement Banner Setting における SQL インジェクション。
- CVE-2023-40934:Core Configuration Manager (CCM) の Host/Service Escalation における SQL インジェクション。
上記の3件の SQL インジェクションが悪用されると、認証された攻撃者に任意の SQL コマンドを実行される可能性がある。その一方で、XSS の脆弱性が悪用されると、任意の JavaScript を注入され、ページ・データを読取/変更にいたる可能性がある。
Nagios XI のセキュリティ問題が発覚したのは、今回が初めてではない。2021年には Skylight Cyber と Claroty が、インフラストラクチャを乗っ取り、リモートでのコード実行に悪用される可能性がある、20件もの脆弱性を発見している。
さまざまな権限が付与されるモニタリング製品であるだけに、Nagios XI の脆弱性による影響が心配されます。このブログ内を Nagios で検索してみたら、2021.09/22 に「Nagios の深刻な脆弱性:IT インフラが乗っ取られる可能性」という記事がポストされていました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.