CVE-2024-24401 & 24402: Nagios XI Security Flaws Found! PoC Published
2024/02/27 SecurityOnline — 広く使用されているエンタープライズ・グレードの監視ツールである Nagios XI で、2つのセキュリティ脆弱性 CVE-2024-24401/CVE-2024-24402 が発見された。これらの脆弱性が悪用されると、ユーザー組織に深刻なリスクの可能性が生じる。
Nagios XI とは
Nagios XI は包括的なモニタリング・ツールであり、ネットワーク・デバイス/サーバ/アプリケーション/サービスなどをカバーする、広範な監視機能を提供するものだ。オープンソースとして提供される Nagios Core の、商用版である Nagios XI は、Core バージョンではサポートされない追加機能が搭載されており、よりユーザー・フレンドリーなインターフェイスを提供している。
この製品は、重要なビジネス・プロセスに影響が生じる前に、 IT インフラストラクチャの問題を特定/解決するツールを、エンタープライズに提供するように設計されている。
CVE-2024-24401:SQL インジェクションの脆弱性
1つ目の脆弱性 CVE-2024-24401 は、monitoringwizard.php コンポーネント内に潜む、SQL インジェクションの欠陥である。この脆弱性の悪用に成功した攻撃者は、影響を受ける Nagios XI システムに悪意のコードを注入し、システムの完全な制御を得る可能性がある。SQL インジェクション攻撃は、依然として根強い脅威であり、安全なコーディングの実践の重要性を示唆している。
CVE-2024-24402:権限昇格の脆弱性
2つ目の脆弱性 CVE-2024-24402 は、/usr/local/nagios/bin/npcd コンポーネントを標的とし、攻撃者に権限の昇格を許す可能性があるものだ。言い換えれば、低レベル権限の攻撃者が、システム上で管理者権限を獲得し、 ネットワーク内で大混乱を引き起こす可能性があるということだ。
緩和策の実施が求められる
セキュリティ研究者である Jarod Jaslow (MAWK) により発見/公開された、これらの脆弱性の悪用を防ぐには、以下の重要な緩和策を実施する必要がある:
- パラメータ化されたクエリを優先する:データベースと通信する際には、SQL インジェクション攻撃を防ぐために、常にパラメータ化されたクエリを使用する。それにより、ユーザー入力を実行可能コードから切り離すことができる。
- アクセスを制限する:厳格なファイル・パーミッションとアクセス制御を実施することにで、root として実行される Nagios サービス実行可能ファイルを保護する。つまり、”NAGIOS” ユーザーが重要なファイル編集を実行できないよう、権限を制限することになる。
アップデートの重要性
幸いなことに、Nagios Enterprises は迅速に対応し、2月21日に Nagios XI 2024R1.0.2 をリリースし、これらの脆弱性にパッチを当てた。Nagios XI のユーザーに推奨されるのは、直ちにアップデートし、システムを保護することだ。
セキュリティの要点
Nagios XI の一連の脆弱性は、以下のような対策の重要性を浮き彫りにする、タイムリーな注意喚起となっている:
- プロアクティブなセキュリティ:定期的な脆弱性スキャンと積極的なリスク評価は、安全な IT 環境を維持するために不可欠である。
- アップデートの価値:既知の脆弱性を軽減するために、セキュリティ・パッチを迅速に適用する。
- セキュアなコーディングの実践:設計から実装に至るまで、セキュリティを重視することで、初期段階での脆弱性の混入を防ぐ。
システムの隅々にまで触手を伸ばし、しかも、高権限が与えられているモニタリング・ソフトウェアの脆弱性は、とても恐ろしいものだと思います。しかも、PoC まで提供されているという状況ですので、ご利用のチームはご注意ください。よろしければ、Nagios で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.