Nagios XI 網絡監控軟件曝出多個安全漏洞

Security Affairs 網站披露，Outpost 24 的研究人員 Astrid Tedenbrant 在 Nagios XI 網絡和 IT 基礎架構監控與管理解決方案中發現四個漏洞，漏洞分別追蹤為 CVE-2023-40931、CVE-2023-40932、CVE-2023-40933、CVE-2023-40934，可能導致信息泄露和權限升級。

Nagios XI 可監控所有關鍵任務基礎設施組件，其中主要包括應用程序、服務、操作系統、網絡協議、系統指標和網絡基礎設施，目前全球有成千上萬的實體組織正在在使用它。

據悉，這些安全漏洞主要影響到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入問題，網絡可利用這幾個漏洞提升自身權限，并獲取敏感的用戶數據，包括密碼哈希和 API 令牌。

漏洞 CVE-2023-40932 是一個通過自定義徽標組件的跨站點腳本問題，網絡攻擊者可以觸發該安全漏洞來讀取和修改目標受害者的頁面數據（包括登錄表單中的純文本密碼）。

Outpost24 在發布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三個漏洞允許具有不同權限級別的用戶通過 SQL 注入訪問數據庫字段，從這些漏洞獲得的數據可能用于進一步提升產品中的權限，并獲取密碼哈希和 API 令牌等敏感用戶數據。

第四個漏洞（CVE-2023-40932）允許通過自定義徽標組件進行跨站點腳本編寫，該組件將在每個頁面上呈現，包括登錄頁面，這就可能被網絡攻擊者用來讀取和修改頁面數據，例如登錄表單中的純文本密碼。

Nagios XI 公司于 2023 年 9 月 11 日發布了 5.11.2 版，解決了上述漏洞問題。

值得一提的是，2021 年 9 月，工業網絡安全公司 Claroty 的研究人員也曾在 Nagios 中發現了 11 個漏洞。據悉，漏洞可能導致服務器端請求偽造（SSRF）、欺騙、本地權限升級、遠程代碼執行和信息泄露。