В системе ИТ-мониторинга Nagios XI устранены уязвимости, выявленные экспертом Positive Technologies
В системе ИТ-мониторинга Nagios XI устранены уязвимости, выявленные экспертом Positive Technologies. Разработчики системы мониторинга ИТ-инфраструктуры Nagios XI поблагодарили старшего специалиста Positive Technologies Алексея Соловьева за обнаружение нескольких опасных уязвимостей. Это программное обеспечение используется в дата-центрах, телекоммуникационных компаниях, у хостинг-провайдеров и в других крупных компаниях для оперативного мониторинга, сбора данных и управлениями сбоями сетевой инфраструктуры. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности.
В феврале 2024 г. число доступных в интернете систем, на которых работает Nagios XI, оценивалось специалистами экспертного центра безопасности Positive Technologies более чем в 900 инсталляций. Треть из них находится в США (33,4%), в Китае — 8,4%, в Индии — 5%.
«Злоумышленник мог использовать уязвимости межсайтового скриптинга (для атаки администратора системы) и внедрения шеллкода (для выполнения произвольного кода на сервере, на котором установлена Nagios XI). После этого атакующий потенциально мог бы отключать Nagios XI и другие системы и службы, использовать предоставленные мощности сервера. К примеру, выполнять майнинг криптовалюты или сделать сервер участником ботнета, похищать приватные данные, взламывать сетевую инфраструктуру и осуществлять другие вредоносные действия», — отметил Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений, Positive Technologies.
Экспертом Positive Technologies были обнаружены уязвимости межсайтового скриптинга (BDU:2023-07898, BDU:2023-07893 и BDU:2023-07900, BDU:2023-07894, BDU:2023-07899 и BDU:2023-07901), внедрения SQL-кода (BDU:2023-07895) и внедрения шеллкода (BDU:2023-07896) — обе с оценкой 9,1 балла по CVSS 3.0.
Для исправления этих уязвимостей необходимо установить Nagios XI версии 2024R1.0.1 или более новой версии.
Для обнаружения и блокировки попыток эксплуатации уязвимостей межсайтового скриптинга, внедрения SQL-кода и внедрения шеллкода эффективно применение динамического анализатора приложений, такого как PT BlackBox. Системы анализа сетевого трафика, например PT Network Attack Discovery (PT NAD), также детектируют злоумышленников, которые используют SQL injection и shell injection. Межсетевые экраны уровня веб-приложений, например PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall, имеют функциональность по защите от этих уязвимостей. Снизить риски эксплуатации RCE-уязвимостей на конечных точках, в том числе на серверах, помогут средства защиты информации класса EDR, например MaxPatrol EDR. Продукт позволяет обнаружить вредоносную активность, отправить сигнал в MaxPatrol SIEM и не дать злоумышленнику продолжить атаку.