Logo
Hamburger Menu Icon
Yoroi Background

Vulnerabilità su NAGIOS XI Network 

09/26/2023

PROTO: N260923

CERT Yoroi desidera informarla riguardo una serie di vulnerabilità che affliggono la tecnologia Nagios XI network.  

Nagios XI è uno strumento di monitoraggio commerciale molto utilizzato per le infrastrutture di rete e IT. Nagios XI è spesso utilizzato in contesti con privilegi elevati a causa dell'accesso richiesto, il che lo rende un bersaglio interessante per gli aggressori. 

I ricercatori di Outpost24 Ghost Labs Vulnerability Research hanno trovato le quattro vulnerabilità in oggetto all'interno delle versioni 5.11.1 di “Nagios XI” condividendone i dettagli all'interno del loro security advisor a cui consegue, a fronte di verifiche tecniche e di riconoscimento oltre che di identificazione da parte del vendor e del NIST, un bollettino di sicurezza emanato da Nagios. 

Andando più nel dettaglio si sottolinea che tre di queste vulnerabilità (CVE-2023-40931, CVE-2023-40933 e CVE-2023-40934) consentono agli utenti, con vari livelli di privilegi, di accedere ai campi del database tramite le cosiddette SQL-Injection. I dati ottenuti da queste vulnerabilità possono essere utilizzati per aumentare ulteriormente i privilegi nel prodotto e ottenere dati sensibili dell'utente, come hash delle password e token API. La quarta vulnerabilità (CVE-2023-40932), invece, consente il Cross-Site Scripting attraverso il componente "Custom logo", che viene visualizzato su ogni pagina, compresa quella di accesso. Questo può essere utilizzato per leggere e modificare i dati della pagina, come le password in testo semplice dei moduli di accesso. 

Le vulnerabilità sono così suddivise: 

  • CVE-2023-40931: si tratta di una vulnerabilità di tipo SQL Injection all'interno del campo “Banner acknowledging endpoint” che esiste quando un utente fa clic su un "Announcement Banners". Questo evento fa in modo che venga generata una richiesta POST all’uri '/nagiosxi/admin/banner_message-ajaxhelper.php' con i dati 'action=acknowledge banner message&id=XXX' come azione di default e concatenato l'ID del messaggio. Si presume che il parametro ID sia affidabile e che non venga modificato dall'utente, nonostante provenga direttamente dal client senza controlli e senza essere sanificato in modo opportuno. Ciò può portare, pertanto, ad una SQL Injection in cui un utente autenticato, ma con un accesso limitato o nullo, può estrarre dati sensibili, come le informazioni dalle tabelle "xi_session" e "xi_users" che contengono informazioni come e-mail, nomi utente, password con hash, token API e ticket di backend. 
  •  CVE-2023-40932: si tratta di un bug di tipo Cross-Site Scripting in “Custom Logo Component”. 
    È possibile aggiungere a Nagios XI un logo aziendale unico mediante l'utilizzo del componente "Custom Logo", che verrà visualizzato nell'intero prodotto. Sono incluse la pagina di login, diverse pagine amministrative e la pagina di destinazione. Una falla di cross-site scripting in questa funzionalità consente ad un utente malintenzionato di iniettare JavaScript arbitrario, che il browser di qualsiasi utente sarà in grado di eseguire. Questo può essere utilizzato per leggere, modificare ed eseguire azioni per conto dell'utente interessato in relazione ai dati della pagina. Inoltre, a causa del modo in cui viene visualizzata la pagina di login, i browser degli utenti possono essere compromessi mentre inseriscono le loro credenziali in chiaro. 
  • CVE-2023-40933: si tratta di una falla di sicurezza di tipo SQL Injection in “Announcement Banner Settings”.  
    L'URL “/nagiosxi/admin/banner message-ajaxhelper.php” della pagina amministrativa di Nagios XI, in modo specifico la sezione relativa alle impostazioni del banner di annuncio, presenta una vulnerabilità di SQL Injection. Il parametro "id", anche in questo caso con il presupposto che sia attendibile e non modificato, viene concatenato in una query di database senza alcuna sanificazione e quando l'azione "update_banner_message_settings" viene eseguita sull'endpoint interessato può portare un potenziale aggressore a modificare la query ed accedere al database. Uno sfruttamento riuscito garantisce lo stesso accesso al database descritto nella CVE-2023-40931, ma richiede privilegi aggiuntivi. 
  • CVE-2023-40934: si tratta di una vulnerabilità di tipo SQL Injection in Host/Service Escalation in “Core Configuration Manager” (CCM). 
    Attraverso l'URL “/nagiosxi/includes/components/ccm/index.php”, il Core Configuration Manager di Nagios XI consente ad un utente autenticato con i privilegi per controllare l'escalation dell'host di eseguire qualsiasi query al database. Nonostante l'arrivo direttamente dal client tramite una richiesta POST, i parametri "tfFirstNotif", "tfLastNotif" e "tfNotifInterval" della query sono considerati attendibili e non hanno controlli di sanificazione, portando ad una falla di tipo SQL injection. Anche in questo caso, uno sfruttamento riuscito da un utente malintenzionato, garantisce lo stesso accesso al database descritto nella CVE-2023-40931, ma richiede privilegi aggiuntivi. 

Tutte queste vulnerabilità sono state risolte negli ultimi update e pertanto si consiglia agli utenti di aggiornare alla versione 5.11.2 o successiva. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e valutare l’aggiornamento del software alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index.  

Riferimenti Esterni: 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram