Nagios XI の脆弱性 CVE-2024-54961 が FIX:認証メカニズムの回避による機密情報の窃取

Nagios XI Flaw Exposes User Details and Emails to Unauthenticated Attackers”

2025/02/21 gbhackers — Nagios XI 2024R1.2.2 の、セキュリティ脆弱性 CVE-2024-54961 (CVSSv3:6.5) が公開された。この脆弱性の悪用に成功した未認証の攻撃者は、ユーザー名やメール・アドレスなどの機密のユーザー情報を、このネットワーク監視プラットフォームから取得できるようになる。

この深刻度の高い脆弱性により、フィッシング・キャンペーン/クレデンシャル ・スタッフィング攻撃などの懸念が高まり、最悪のケースでは、侵害されたネットワーク内での横方向の移動のリスクも生じる。

脆弱性 CVE-2024-54961 の技術的詳細

この脆弱性は、Nagios XI の Web インターフェース内の不適切なアクセス制御に起因する。認証を必要としない攻撃者は、細工された HTTP リクエストを介して複数の管理ページにダイレクトにアクセスし、機密データへのアクセスを制限するように設計された、認証メカニズムを回避できる。

この脆弱性の悪用において、高度なツールやテクニックは不要であるという。つまり、ユーザー管理パネルやシステム・コンフィグ・パネルなどの、脆弱なエンドポイントに移動する攻撃者は、それだけで、ユーザー名とメール・アドレスをプレーン・テキストで抽出できる。

この情報漏洩 (CWE-200) の脆弱性は、ユーザー・セッションにおける不十分な検証に起因する。Nagios XI 2024R1.2.2 は、特定の API エンド・ポイントの権限を検証できないため、ユーザー・アカウントの不正な列挙が可能になるという。

セキュリティ研究者たちが指摘するのは、公開されたメール・アドレスにより標的型ソーシャル・エンジニアリング攻撃が容易なる点と、窃取されるユーザー名によりブルートフォース・パスワード推測の試みが容易になる点である。

エンタープライズ・セキュリティへの影響

この種のユーザー資格情報の流出により、即時的なリスクが生じる。

  • フィッシングの加速:正当なメール・アドレスを悪用する攻撃者は、高度にパーソナライズされたフィッシング・メールを作成し、資格情報の収集を効率よく達成していく。
  • パスワード攻撃:有効なユーザー名を悪用する攻撃者は、Nagios XI の Web インターフェースまたは、企業システム全体で再利用される、資格情報に対するログイン試行を自動化できる。
  • サプライチェーンの侵害:Nagios XI の利用形態として、Active Directory などの特権システムと、多くのケースで統合されることが挙げられる、侵害された資格情報により、より広範なインフラへのアクセスが、不正に許可される可能性が生じる。

今回の脆弱性は、Nagios XI のアクセス制御の失敗のパターンを継承している。2023年には、4つの深刻な脆弱性 CVE-2023-40931 〜 CVE-2023-40934 の悪用により、SQL インジェクションと XSS が発生し、今回と同様のデータ抽出が可能になっていた。そこで浮き彫りになるのは、このプラットフォームのセキュリティ・アーキテクチャにおける、体系的な問題である。

緩和と対応

すでに Nagios Enterprises は、最新のマッチ・バージョンである Nagios XI 2024R1.2.3 をリリースし、この問題に対処している。すべてのユーザーに強く推奨されるのは、この最新バージョンへと、迅速にアップデートすることだ。

なお、速やかなパッチ適用が不可能な組織は、以下の緩和策を実施すべきである。

  • ファイアウォール・ルールを使用して、Nagios XI インターフェースへのネットワーク・アクセスを制限する。
  • WAF を実装して、”/nagiosxi/admin/” パスへの不正アクセスをブロックする。
  • ログの監視により、ユーザーが管理するエンド・ポイントへの異常なアクセス・パターンをチェックする。
歴史的背景と永続的なリスク

今回の脆弱性情報の開示は、2021 年の監査に続くものであり、そのときには、Nagios XI に存在するリモート・コード実行などの 24件の脆弱性が明かされた。そして、新たな認証バイパスの問題が浮き彫りにするのは、この複雑な監視プラットフォームの保護の難しさである。

ユーザー企業は、従来からの Nagios デプロイメントには、未公開の脆弱性が潜んでいると想定し、この監視システムに対してゼロトラストの原則を適用すべきである。今回の CVE-2024-54961 が思い出させるのは、このネットワーク監視ツールに固有のリスクである。

その一方で、セキュリティ・チームに求められるのは、パッチ適用/セグメント監視インフラの分割/優先的かつ定期的なアクセス制御監査の実施となる。

この種の運用テクノロジーを標的とする、攻撃者が増え続けている。この、進化するサイバー脅威に対する、組織の回復力を維持するために、Nagios XI などのプラットフォームの保護が不可欠となる。

ネットワーク監視プラットフォーム Nagios XI に存在する、認証メカニズム回避の脆弱性が FIX しました。この脆弱性の深刻度は、CVSS 値 6.5 と、それほど高くはありません。しかし、本文中にもあるように、悪用されると企業にとって深刻な問題を引き起こす可能性があります。ご利用のチームは、ご注意ください。よろしければ、以下の関連記事も、ご利用下さい。
2024/02/27:Nagios XI の脆弱性 CVE-2024-24401/24402 が FIX:PoC も公開
2023/09/20:Nagios XI ネットワーク・モニターに4件の深刻な脆弱性
2021/09/22:Nagios の深刻な脆弱性:IT インフラが乗っ取られる可能性