工業(yè)網(wǎng)絡(luò)安全公司Claroty的研究人員在Nagios廣泛使用的網(wǎng)絡(luò)管理產(chǎn)品中發(fā)現(xiàn)了近12個漏洞。這些缺陷可能會給組織帶來嚴重的風(fēng)險，因為這些類型的產(chǎn)品可能成為惡意攻擊者的誘人目標(biāo)。已發(fā)現(xiàn)影響Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard的11個安全漏洞。供應(yīng)商在8月份發(fā)布了針對每個受影響產(chǎn)品的補丁。Nagios的產(chǎn)品有著非常廣泛的行業(yè)覆蓋率，政府、教育、醫(yī)療保健和醫(yī)學(xué)、軍用、國防工業(yè)、研究與開發(fā)、制造業(yè)、零售、能源、電信、銀行與金融，等等，許多知名企業(yè)如康卡斯特（Comcast）、殼牌（Shell）、DHL、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）、西門子、東芝都是其客戶。因此，Claroty公司的研究人員不無擔(dān)心地指出，網(wǎng)絡(luò)安全行業(yè)和用戶應(yīng)當(dāng)特別關(guān)注這批漏洞和受影響產(chǎn)品的升級更新，謹防類似Solarwinds和Kaseya軟件供應(yīng)鏈攻擊事件重演。

　　這一漏洞披露為何如此重要？

　　Nagios Core是一種流行的開源工具，用于監(jiān)視IT基礎(chǔ)設(shè)施的性能問題、事件調(diào)度和處理、警報以及與網(wǎng)絡(luò)運行狀況相關(guān)的更多功能。Nagios XI是一個使用Nagios Core的基于web的專有平臺。XI通過增加額外的特性來增強IT操作，從而擴展了Core的能力。網(wǎng)絡(luò)運營中心（NOC）員工和系統(tǒng)管理員使用該平臺查看被管理服務(wù)器和工作站的當(dāng)前狀態(tài)。Nagios表示，全球有數(shù)千家組織使用其軟件監(jiān)控網(wǎng)絡(luò)，康卡斯特（Comcast）、殼牌（Shell）、DHL、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）、西門子、東芝（Toshiba）、Thales、Yahoo等知名公司都在其網(wǎng)站上被列為用戶。

　　之所以這個Nagios XI的漏洞讓人如此關(guān)注，就是因為它作為網(wǎng)絡(luò)管理產(chǎn)品的特殊地位和作用。你一定不會忘記SolarWinds和Kaseya攻擊事件，它們對IT和網(wǎng)絡(luò)管理供應(yīng)鏈的核心的破壞性入侵，是多么的讓人觸目驚心。在這兩個案例中，所謂的國家威脅行為者都能夠滲透到供應(yīng)商用來向客戶發(fā)送軟件更新的機制中，并用包括勒索軟件在內(nèi)的惡意軟件感染這些更新。在這兩種情況下，成千上萬的客戶安裝了受損的更新，兩家供應(yīng)商與客戶建立的信任受到了嚴重損害。

　　SolarWinds和Kaseya成為目標(biāo)可能不僅是因為它們龐大且有影響力的客戶基礎(chǔ)，還因為它們各自的技術(shù)可以接入企業(yè)網(wǎng)絡(luò)，無論是管理IT、運營技術(shù)（OT）還是物聯(lián)網(wǎng)（IoT）設(shè)備。網(wǎng)絡(luò)管理系統(tǒng)對企業(yè)網(wǎng)絡(luò)中的核心服務(wù)器、設(shè)備和其他關(guān)鍵組件進行監(jiān)控；此外，考慮到這些系統(tǒng)用于監(jiān)視服務(wù)器，它們通常包含許多網(wǎng)絡(luò)秘密，如憑證或API令牌，這些對攻擊者很有吸引力。因此，你不能不聯(lián)想Nagios XI同樣會成為攻擊者的重點目標(biāo)。

　　Nagios公司在中國有業(yè)務(wù)開展，其中文網(wǎng)站宣傳的產(chǎn)品優(yōu)勢主要有八個方面，如下圖所示：

　　Nagios的解決方案覆蓋眾多行業(yè)部門，包括政府、教育、醫(yī)療保健和醫(yī)學(xué)、軍用、國防工業(yè)、研究與開發(fā)、制造業(yè)、零售、能源、電信、銀行與金融、運輸及物流、航天、執(zhí)法、應(yīng)急管理、旅游、媒體、服務(wù)、非營利等。

　　11個漏洞概況

　　Team82團隊的研究發(fā)現(xiàn)了Nagios XI可利用的11個漏洞，可能導(dǎo)致遠程代碼執(zhí)行，憑據(jù)盜竊，網(wǎng)絡(luò)釣魚攻擊，本地升級特權(quán)用戶權(quán)限等。通過組合利用其中一些漏洞，攻擊者可以使用高權(quán)限（root）實現(xiàn)身份驗證后的遠程代碼執(zhí)行。

　　CVE-2021-37353: 1.1.3版本之前的Nagios XI Docker Wizard容易受到服務(wù)器端請求偽造（SSRF）的攻擊，原因是table_population.php中的不正確的衛(wèi)生處理；

　　CVE-2021-37352: Nagios XI在5.8.5版本之前存在一個開放重定向漏洞，可能導(dǎo)致欺騙。要利用該漏洞，攻擊者可以發(fā)送一個具有特殊URL的鏈接，并說服用戶單擊該鏈接。

　　CVE-2021-37351: 5.8.5版本之前的Nagios XI容易受到不安全權(quán)限的攻擊，允許未經(jīng)身份驗證的用戶通過對服務(wù)器的精心設(shè)計的HTTP請求訪問受保護的頁面。

　　CVE-2021-37350: Nagios XI 5.8.5版本之前的批量修改工具存在SQL注入漏洞，原因是輸入清理不當(dāng)。

　　CVE-2021-37349: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響，因為cleaner.php不清理從數(shù)據(jù)庫讀取的輸入。

　　CVE-2021-37348: 在5.8.5版本之前的Nagios XI很容易通過對index.php中的路徑名的不當(dāng)限制而包含本地文件。

　　CVE-2019-37347: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響，因為getprofile.sh不驗證它接收到的作為參數(shù)的目錄名。

　　CVE-2021-37346: 版本1.4.8之前的Nagios XI WatchGuard Wizard容易受到遠程代碼執(zhí)行的攻擊，原因是OS命令中使用的特殊元素被不當(dāng)中和（操作系統(tǒng)命令注入）。

　　CVE-2021-37345: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響，因為一些權(quán)限提升的腳本正在從/var目錄導(dǎo)入到XI-sys.cfg。

　　CVE-2021-37344: 2.5.7版之前的Nagios XI Switch Wizard容易受到遠程代碼執(zhí)行的攻擊，因為它會對操作系統(tǒng)命令中使用的特殊元素進行不恰當(dāng)?shù)闹泻停ú僮飨到y(tǒng)命令注入）。

　　CVE-2021-37343: Nagios XI5.8.5版的AutoDiscovery組件存在路徑遍歷漏洞，可能導(dǎo)致運行Nagios的用戶的安全上下文下的后認證RCE。

　　Claroty創(chuàng)建了一個概念驗證（PoC）漏洞，展示了經(jīng)過身份驗證的攻擊者如何將一些漏洞鏈接起來，以使用根權(quán)限執(zhí)行shell命令。

　　Nagios XI使用許多腳本和可執(zhí)行文件，并支持SNMP、SSH和Windows Management Instrumentation （WMI）等協(xié)議來調(diào)用命令并從其監(jiān)視的設(shè)備派生統(tǒng)計信息。為了能夠使用這些協(xié)議，配置設(shè)備的IT管理員必須向Nagios XI提供憑據(jù)，以便連接到這些設(shè)備。這些憑據(jù)保存在Nagios數(shù)據(jù)庫中以供進一步使用。Nagios還允許安裝插件，從而擴展了Nagios XI的功能。缺點是，這也擴展了威脅參與者可用的攻擊面，并增加了可能存在的漏洞的數(shù)量。

　　雖然在很多情況下使用Nagios都需要身份驗證，但研究人員指出，Nagios XI極大地擴展了平臺的攻擊面的另一個特性是自動登錄特性。這個特性在構(gòu)建時考慮到了NOC管理員，它允許Nagios管理員設(shè)置一個只讀用戶帳戶，任何用戶都可以連接該帳戶，而不需要憑據(jù)。雖然該特性可能對NOC有用，但允許用戶輕松連接到平臺并查看信息，而不需要憑據(jù)，也允許攻擊者獲得平臺中的用戶帳戶的訪問權(quán)，從而使任何認證后漏洞無需身份驗證就可以利用。

　　安全建議

　　今年8月，Nagios通過對Nagios XI、Nagios XI Docker Wizard、Nagios XI WatchGuard Wizard和Nagios XI Switch Wizard的更新，解決了Team82私下披露的漏洞。

　　除了及時更新那些受影響的系統(tǒng)外，用戶還應(yīng)該遵守一些保證網(wǎng)絡(luò)管理系統(tǒng)安全的基本規(guī)則。

　　信任：這些系統(tǒng)需要廣泛的信任和對網(wǎng)絡(luò)組件的訪問，以便正確地監(jiān)控網(wǎng)絡(luò)行為和性能，防止故障和低效。它們還可以通過防火墻擴展到您的網(wǎng)絡(luò)之外，以處理遠程服務(wù)器和連接。因此，這些集中式系統(tǒng)肯定是攻擊者的理想目標(biāo)，攻擊者可以利用這類產(chǎn)品的漏洞，并試圖通過入侵控制它來訪問、操縱和破壞其他系統(tǒng)。

　　監(jiān)控：對網(wǎng)絡(luò)管理系統(tǒng)的訪問應(yīng)受到密切監(jiān)視，并僅限于有特權(quán)的內(nèi)部人士。所有的連接和活動都應(yīng)該被監(jiān)視和警告。