جزئیات افشا شده از نقایص حیاتی نرم افزار نظارتی Nagios

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir critical flaws affecting nagios it monitoring software

محققان امنیت سایبری جزئیات مربوط به 13 آسیب پذیری در برنامه نظارت بر شبکه Nagios (ناگیوس) را فاش کرده اند که می تواند توسط مهاجم و بدون دخالت هیچگونه اپراتوری، زیرساخت ها را هدف سوءاستفاده و سرقت قرار دهد.

آدی اشکنازی، مدیر عامل شرکت امنیت سایبری استرالیایی سایبر اسکای لایت به خبرگزاری ها گفته است: "در ساختار یک شرکت ارتباطاتی، در جایی که آن شرکت هزاران سایت را زیر نظر دارد و آنها را مانیتور میکند، اگر یک سایت مشتری به طور کامل به خطر بیفتد، مهاجم می تواند از مجموعه آسیب پذیری ها برای به خطر انداختن آن مجموعه ارتباطاتی و همچنین هر سایت مشتری نیز که تحت نظارت است، سوءاستفاده کند".

 ناگیوس یک ابزار زیرساختی فناوری اطلاعات متن باز مشابه SolarWinds Network Performance Monitor (NPM) است که خدمات نظارت و هشدار را برای سرورها، کارت های شبکه، برنامه ها و خدماتی ها ارائه می دهد.

به نقل از هکر نیوز، این مسائل شامل ترکیبی از اجرای کد معتبر از راه دور (RCE) و نقص تشدید امتیاز، کشف و به ناگیوس در اکتبر سال 2020 گزارش شده و پس از آن در ماه نوامبر اصلاح شده است.

اصلی ترین آنها CVE-2020-28648 (CVSS score: 8.8) است، که مربوط به اعتبار ورودی نامناسب در مولفه کشف خودکار Nagios XI است که محققان از آن به عنوان نقطه پرشی برای ایجاد زنجیره بهره برداری استفاده می کنند که در مجموع پنج آسیب پذیری برای دستیابی به "حمله بزرگ بالادستی" را اجرا میکند.

محققان در مقاله ای که هفته گذشته منتشر کردند، گفته اند: "در واقع اگر ما، به عنوان مهاجم، با سایت مشتری روبرو شویم که با استفاده از سرور Nagios XI تحت نظارت است، می توانیم سرور مدیریت شرکت ارتباط از راه دور و هر مشتری دیگری را که تحت نظارت است ، به خطر بیندازیم".

اگر متفاوت بنگریم، سناریوی حمله با هدف قرار دادن سرور Nagios XI در سایت مشتری، با استفاده از CVE-2020-28648 و CVE-2020-28910 برای به دست آوردن RCE و افزایش امتیازات روت کار می کند. با سروری که در حال حاضر به خطر افتاده است، دشمن می تواند داده های آلوده را به سرور بالادست Nagios Fusion که با استفاده از نمونه گیری دوره ای از سرورهای Nagios XI، برای ایجاد دید گسترده در سطح زیرساخت ها استفاده می شود، ارسال کند.

سمیر غانم، محقق سایبر اسکای لایت گفت: "با آلوده کردن داده های برگشتی از سرور XI تحت کنترلمان، می توانیم اسکریپت نویسی بین سایت [CVE-2020-28903] را راه اندازی کرده و کد جاوا اسکریپت را در متن کاربر Fusion اجرا کنیم".

در مرحله بعدی حمله، مهاجم از این توانایی برای اجرای کد جاوا اسکریپت دلخواه در سرور Fusion برای بدست آوردن RCE (CVE-2020-28905) و متعاقباً افزایش مجوزها (CVE-2020-28902) برای به دست گرفتن کنترل سرور Fusion استفاده می کند و در نهایت، به سرورهای XI واقع در سایتهای دیگر مشتری ها نفوذ میکند.

محققان همچنین ابزار پسابهره برداری مبتنی بر PHP به نام SoyGun را منتشر کرده اند که آسیب پذیری ها را با هم پیوسته و متصل می کند و به مهاجم با اعتبار کاربر Nagios XI و دسترسی HTTP به سرور Nagios XI این اجازه را می دهد تا کنترل کامل استقرار در Nagios Fusion را به دست گیرد.

خلاصه ای از این 13 آسیب پذیری در ذیل آمده است:

با توجه به اینکه در سال گذشته SolarWinds قربانی یک حمله مهم زنجیره تأمین شد، مشخص گردید که هدف قرار دادن سیستم نظارت بر شبکه مانند Nagios می تواند یک عامل مخرب را قادر سازد تا نفوذ به شبکه های سازمانی را گسترش داده، دسترسی خود را از طریق شبکه فناوری اطلاعات به طور جانبی گسترش دهد و به سرآغازی برای تهدیدات پیچیده تر تبدیل شود .

غانم افزود: "میزان تلاش و کوشش لازم برای یافتن این آسیب پذیری ها و بهره برداری از آنها در زمینه مهاجمان پیچیده و به ویژه امنیت ملی، بسیار ناچیز بوده است".

"اگر ما می توانستیم این كار را به عنوان یك پروژه جانبی سریع انجام دهیم، تصور كنید چقدر این کار برای افرادی كه تمام وقت خود را صرف توسعه این نوع سوءاستفاده ها می كنند، ساده میبود. این مورد را با تعداد مراکز داده ها، ابزارها و تامین کنندگانی كه در حال حاضر هستند و می توان از آنها در یک شبکه مدرن استفاده كرد، تجمیع كنید؛ و ما یک مسئله اساسی در دست داریم".

برچسب ها: نرم افزار نظارتی, اختیارات, ناگیوس, Monitoring Software, Nagios XI, PHP, Nagios Fusion, privileges, apache, RCE, Nagios, جاوا اسکریپت, Javascript, HTTP, cybersecurity, SolarWinds, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ