工業(yè)網(wǎng)絡(luò)安全公司Claroty的研究人員在Nagios廣泛使用的網(wǎng)絡(luò)管理產(chǎn)品中發(fā)現(xiàn)了近12個(gè)漏洞。這些缺陷可能會(huì)給組織帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)，因?yàn)檫@些類型的產(chǎn)品可能成為惡意攻擊者的誘人目標(biāo)。已發(fā)現(xiàn)影響Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard的11個(gè)安全漏洞。供應(yīng)商在8月份發(fā)布了針對(duì)每個(gè)受影響產(chǎn)品的補(bǔ)丁。Nagios的產(chǎn)品有著非常廣泛的行業(yè)覆蓋率，政府、教育、醫(yī)療保健和醫(yī)學(xué)、軍用、國(guó)防工業(yè)、研究與開發(fā)、制造業(yè)、零售、能源、電信、銀行與金融，等等，許多知名企業(yè)如康卡斯特（Comcast）、殼牌（Shell）、DHL、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）、西門子、東芝都是其客戶。因此，Claroty公司的研究人員不無(wú)擔(dān)心地指出，網(wǎng)絡(luò)安全行業(yè)和用戶應(yīng)當(dāng)特別關(guān)注這批漏洞和受影響產(chǎn)品的升級(jí)更新，謹(jǐn)防類似Solarwinds和Kaseya軟件供應(yīng)鏈攻擊事件重演。

　　這一漏洞披露為何如此重要？

　　Nagios Core是一種流行的開源工具，用于監(jiān)視IT基礎(chǔ)設(shè)施的性能問(wèn)題、事件調(diào)度和處理、警報(bào)以及與網(wǎng)絡(luò)運(yùn)行狀況相關(guān)的更多功能。Nagios XI是一個(gè)使用Nagios Core的基于web的專有平臺(tái)。XI通過(guò)增加額外的特性來(lái)增強(qiáng)IT操作，從而擴(kuò)展了Core的能力。網(wǎng)絡(luò)運(yùn)營(yíng)中心（NOC）員工和系統(tǒng)管理員使用該平臺(tái)查看被管理服務(wù)器和工作站的當(dāng)前狀態(tài)。Nagios表示，全球有數(shù)千家組織使用其軟件監(jiān)控網(wǎng)絡(luò)，康卡斯特（Comcast）、殼牌（Shell）、DHL、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）、西門子、東芝（Toshiba）、Thales、Yahoo等知名公司都在其網(wǎng)站上被列為用戶。

　　之所以這個(gè)Nagios XI的漏洞讓人如此關(guān)注，就是因?yàn)樗鳛榫W(wǎng)絡(luò)管理產(chǎn)品的特殊地位和作用。你一定不會(huì)忘記SolarWinds和Kaseya攻擊事件，它們對(duì)IT和網(wǎng)絡(luò)管理供應(yīng)鏈的核心的破壞性入侵，是多么的讓人觸目驚心。在這兩個(gè)案例中，所謂的國(guó)家威脅行為者都能夠滲透到供應(yīng)商用來(lái)向客戶發(fā)送軟件更新的機(jī)制中，并用包括勒索軟件在內(nèi)的惡意軟件感染這些更新。在這兩種情況下，成千上萬(wàn)的客戶安裝了受損的更新，兩家供應(yīng)商與客戶建立的信任受到了嚴(yán)重?fù)p害。

　　SolarWinds和Kaseya成為目標(biāo)可能不僅是因?yàn)樗鼈凖嫶笄矣杏绊懥Φ目蛻艋A(chǔ)，還因?yàn)樗鼈兏髯缘募夹g(shù)可以接入企業(yè)網(wǎng)絡(luò)，無(wú)論是管理IT、運(yùn)營(yíng)技術(shù)（OT）還是物聯(lián)網(wǎng)（IoT）設(shè)備。網(wǎng)絡(luò)管理系統(tǒng)對(duì)企業(yè)網(wǎng)絡(luò)中的核心服務(wù)器、設(shè)備和其他關(guān)鍵組件進(jìn)行監(jiān)控；此外，考慮到這些系統(tǒng)用于監(jiān)視服務(wù)器，它們通常包含許多網(wǎng)絡(luò)秘密，如憑證或API令牌，這些對(duì)攻擊者很有吸引力。因此，你不能不聯(lián)想Nagios XI同樣會(huì)成為攻擊者的重點(diǎn)目標(biāo)。

　　Nagios公司在中國(guó)有業(yè)務(wù)開展，其中文網(wǎng)站宣傳的產(chǎn)品優(yōu)勢(shì)主要有八個(gè)方面，如下圖所示：

　　Nagios的解決方案覆蓋眾多行業(yè)部門，包括政府、教育、醫(yī)療保健和醫(yī)學(xué)、軍用、國(guó)防工業(yè)、研究與開發(fā)、制造業(yè)、零售、能源、電信、銀行與金融、運(yùn)輸及物流、航天、執(zhí)法、應(yīng)急管理、旅游、媒體、服務(wù)、非營(yíng)利等。

　　11個(gè)漏洞概況

　　Team82團(tuán)隊(duì)的研究發(fā)現(xiàn)了Nagios XI可利用的11個(gè)漏洞，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，憑據(jù)盜竊，網(wǎng)絡(luò)釣魚攻擊，本地升級(jí)特權(quán)用戶權(quán)限等。通過(guò)組合利用其中一些漏洞，攻擊者可以使用高權(quán)限（root）實(shí)現(xiàn)身份驗(yàn)證后的遠(yuǎn)程代碼執(zhí)行。

　　CVE-2021-37353: 1.1.3版本之前的Nagios XI Docker Wizard容易受到服務(wù)器端請(qǐng)求偽造（SSRF）的攻擊，原因是table_population.php中的不正確的衛(wèi)生處理；

　　CVE-2021-37352: Nagios XI在5.8.5版本之前存在一個(gè)開放重定向漏洞，可能導(dǎo)致欺騙。要利用該漏洞，攻擊者可以發(fā)送一個(gè)具有特殊URL的鏈接，并說(shuō)服用戶單擊該鏈接。

　　CVE-2021-37351: 5.8.5版本之前的Nagios XI容易受到不安全權(quán)限的攻擊，允許未經(jīng)身份驗(yàn)證的用戶通過(guò)對(duì)服務(wù)器的精心設(shè)計(jì)的HTTP請(qǐng)求訪問(wèn)受保護(hù)的頁(yè)面。

　　CVE-2021-37350: Nagios XI 5.8.5版本之前的批量修改工具存在SQL注入漏洞，原因是輸入清理不當(dāng)。

　　CVE-2021-37349: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響，因?yàn)閏leaner.php不清理從數(shù)據(jù)庫(kù)讀取的輸入。

　　CVE-2021-37348: 在5.8.5版本之前的Nagios XI很容易通過(guò)對(duì)index.php中的路徑名的不當(dāng)限制而包含本地文件。

　　CVE-2019-37347: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響，因?yàn)間etprofile.sh不驗(yàn)證它接收到的作為參數(shù)的目錄名。

　　CVE-2021-37346: 版本1.4.8之前的Nagios XI WatchGuard Wizard容易受到遠(yuǎn)程代碼執(zhí)行的攻擊，原因是OS命令中使用的特殊元素被不當(dāng)中和（操作系統(tǒng)命令注入）。

　　CVE-2021-37345: 5.8.5版本之前的Nagios XI容易受到本地權(quán)限提升的影響，因?yàn)橐恍?quán)限提升的腳本正在從/var目錄導(dǎo)入到XI-sys.cfg。

　　CVE-2021-37344: 2.5.7版之前的Nagios XI Switch Wizard容易受到遠(yuǎn)程代碼執(zhí)行的攻擊，因?yàn)樗鼤?huì)對(duì)操作系統(tǒng)命令中使用的特殊元素進(jìn)行不恰當(dāng)?shù)闹泻停ú僮飨到y(tǒng)命令注入）。

　　CVE-2021-37343: Nagios XI5.8.5版的AutoDiscovery組件存在路徑遍歷漏洞，可能導(dǎo)致運(yùn)行Nagios的用戶的安全上下文下的后認(rèn)證RCE。

　　Claroty創(chuàng)建了一個(gè)概念驗(yàn)證（PoC）漏洞，展示了經(jīng)過(guò)身份驗(yàn)證的攻擊者如何將一些漏洞鏈接起來(lái)，以使用根權(quán)限執(zhí)行shell命令。

　　Nagios XI使用許多腳本和可執(zhí)行文件，并支持SNMP、SSH和Windows Management Instrumentation （WMI）等協(xié)議來(lái)調(diào)用命令并從其監(jiān)視的設(shè)備派生統(tǒng)計(jì)信息。為了能夠使用這些協(xié)議，配置設(shè)備的IT管理員必須向Nagios XI提供憑據(jù)，以便連接到這些設(shè)備。這些憑據(jù)保存在Nagios數(shù)據(jù)庫(kù)中以供進(jìn)一步使用。Nagios還允許安裝插件，從而擴(kuò)展了Nagios XI的功能。缺點(diǎn)是，這也擴(kuò)展了威脅參與者可用的攻擊面，并增加了可能存在的漏洞的數(shù)量。

　　雖然在很多情況下使用Nagios都需要身份驗(yàn)證，但研究人員指出，Nagios XI極大地?cái)U(kuò)展了平臺(tái)的攻擊面的另一個(gè)特性是自動(dòng)登錄特性。這個(gè)特性在構(gòu)建時(shí)考慮到了NOC管理員，它允許Nagios管理員設(shè)置一個(gè)只讀用戶帳戶，任何用戶都可以連接該帳戶，而不需要憑據(jù)。雖然該特性可能對(duì)NOC有用，但允許用戶輕松連接到平臺(tái)并查看信息，而不需要憑據(jù)，也允許攻擊者獲得平臺(tái)中的用戶帳戶的訪問(wèn)權(quán)，從而使任何認(rèn)證后漏洞無(wú)需身份驗(yàn)證就可以利用。

　　安全建議

　　今年8月，Nagios通過(guò)對(duì)Nagios XI、Nagios XI Docker Wizard、Nagios XI WatchGuard Wizard和Nagios XI Switch Wizard的更新，解決了Team82私下披露的漏洞。

　　除了及時(shí)更新那些受影響的系統(tǒng)外，用戶還應(yīng)該遵守一些保證網(wǎng)絡(luò)管理系統(tǒng)安全的基本規(guī)則。

　　信任：這些系統(tǒng)需要廣泛的信任和對(duì)網(wǎng)絡(luò)組件的訪問(wèn)，以便正確地監(jiān)控網(wǎng)絡(luò)行為和性能，防止故障和低效。它們還可以通過(guò)防火墻擴(kuò)展到您的網(wǎng)絡(luò)之外，以處理遠(yuǎn)程服務(wù)器和連接。因此，這些集中式系統(tǒng)肯定是攻擊者的理想目標(biāo)，攻擊者可以利用這類產(chǎn)品的漏洞，并試圖通過(guò)入侵控制它來(lái)訪問(wèn)、操縱和破壞其他系統(tǒng)。

　　監(jiān)控：對(duì)網(wǎng)絡(luò)管理系統(tǒng)的訪問(wèn)應(yīng)受到密切監(jiān)視，并僅限于有特權(quán)的內(nèi)部人士。所有的連接和活動(dòng)都應(yīng)該被監(jiān)視和警告。