0xNews - Nagios 모니터링 소프트웨어에서 중요한 취약점 발견
0xNews - Nagios 모니터링 소프트웨어에서 중요한 취약점 발견
Skylightcyber 발표
https://skylightcyber.com/2021/05/20/13-nagios-vulnerabilities-7-will-shock-you/
Nagios 는 서버, 네트워크 카드, 애플리케이션, 서비스 등에 대한 모니터링이나 경고 서비스를 제공하는 SolarWinds NPM Network Performance Monitor 과 유사한 오픈 소스 IT 인프라 도구
이번 취약점을 발견한 연구팀은 Nagios 클라이언트가 수천개의 사이트를 모니터링하는 통신 환경에 위치했다고 가정 했을 때
취약점을 통해 클라이언트를 공격 후 모니터링 대상이 되는 고객 사이트 또한 공격이 가능
RCE remote code execution 취약점과 권한 상승 privilege escalation 취약점이 혼합
2020년 10월 Nagios 보고 후 11월 수정, 보안 패치 제공
이번 패치 중 가장 중요한 취약점에 대한 패치
CVE-2020-28648
CVSS 8.8
강력한 업스트림 공격 powerful upstream attack 달성하기 위한 총 5개 취약점 중 하나
익스플로잇 체인을 트리거 하기 위해 점프 지점으로 사용했던 Nagios XI 자동 검색 구성 요소 Auto-Discovery component 에 대한 부적절한 입력 검증에서 문제 발생
연구팀이 확인한 가상 공격 시나리오
CVE-2020-28648, CVE-2020-28910 등을 사용
고객 사이트에서 Nagios XI 서버를 대상으로 RCE 를 이용하여 루트 root 권한 상승 실시
서버에 대한 공격 완료 후 공격자는 Nagios XI 서버를 주기적으로 폴링 Polling
중앙 집중식 인프라 전반에 대한 가시성을 제공하는데 사용되는 업스트림 Nagios Fusion 서버로 악의적으로 조작된 데이터 전송 가능
연구팀은 테스트를 통해 모의 테스트의 XI 서버에서 반환된 데이터를 감염시킴으로서 XSS 트리거 - CVE-2020-28903
Fusion 사용자의 컨텍스트에서 javascript 코드를 실행 가능
공격 후 Fusion 서버에서 임의의 javascript 코드를 실행하여 RCE 획득 - CVE-2020-28905
이후 권한 상승 수행 - CVE-2020-28902
공격자는 Fusion 서버의 제어에 대한 모든 권한을 확보하여 해당 서버에 연결된 다른 고객 사이트에 있는 XI 서버로 침입
연구팀은 Nagios XI 사용자의 자격 증명을 가진 공격자가 Nagios XI 서버에 대한 HTTP 접속 허용 후 Nagios Fusion 배포를 강제 제어하는 공격 도구 추가 발표
PHP 기반 soygun 도구에 대한 Github 사이트 링크
https://github.com/skylightcyber/soygun
핵심 취약점 13개 리스트
CVE-2020-28648
(낮은 권한이있는 사용자의 컨텍스트에서) Nagios XI 인증 원격 코드 실행
CVE-2020-28900
upgrade_to_latest.sh 를 통해 nagios 에서 루트로 Nagios Fusion 와 XI 권한 에스컬레이션
CVE-2020-28901
cmd_subsys.php 의 component_dir 매개 변수에 대한 명령 인젝션을 통해 Nagios Fusion 권한을 Apache 에서 nagios로 에스컬레이션
CVE-2020-28902
cmd_subsys.php 의 시간대 매개 변수에 대한 명령 인젝션을 통해 Apache 에서 nagios로 Nagios Fusion 권한 에스컬레이션
CVE-2020-28903
공격자가 통합된 서버를 제어 할 때 Nagios XI의 XSS
CVE-2020-28904
악성 구성 요소 설치를 통해 Nagios Fusion 권한이 Apache 에서 nagios로 상승
CVE-2020-28905
(낮은 권한 사용자의 컨텍스트에서) Nagios Fusion 인증 원격 코드 실행
CVE-2020-28906
fusion-sys.cfg / xi-sys.cfg 수정을 통해 Nagios 에서 루트로 Nagios Fusion 와 XI 권한 상승
CVE-2020-28907
upgrade_to_latest.sh 및 프록시 구성 수정을 통해 아파치에서 루트로 Nagios Fusion 권한 에스컬레이션
CVE-2020-28908
cmd_subsys.php 에서 명령 인젝션을 통해 Apache 에서 nagios로 Nagios Fusion 권한 에스컬레이션
CVE-2020-28909
sudo로 실행할 수있는 스크립트 수정을 통해 Nagios 에서 루트로 Nagios Fusion 권한 에스컬레이션
CVE-2020-28910
Nagios XI getprofile.sh 권한 에스컬레이션
CVE-2020-28911
Nagios Fusion 정보 공개
자격 증명이 저장 될 때 권한이 낮은 사용자가 통합 서버에 인증 할 수 있음
데모 동영상
네트워크 모니터링과 같은 플랫폼 영역의 취약점을 통한 공격 수행과 성공을 통해 공격자는 IT 네트워크 접속의 사이드 공격을 점차 확장하고 있기에 관리자의 주의가 필수
Nagios 사용자와 관리자는 해당 취약점 확인 후 보안 패치 적용할 것을 권고
Nagios 취약점 정보와 패치 정보 사이트 링크
https://www.nagios.com/products/security/
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.