新思科技网络安全研究中心发现Nagios XI存在漏洞

最新推荐文章于 2024-04-03 16:05:55 发布
最新推荐文章于 2024-04-03 16:05:55 发布
阅读量179 收藏
点赞数
文章标签: 网络安全 postgresql 数据库 安全漏洞

开源组件的使用已经很普遍,由于开源组件存在漏洞而导致的安全事件也屡见不鲜。管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险至关重要,尤其像Nagios这类广泛应用的开源免费网络监视工具,如果存在漏洞,一旦遭受攻击,受影响的用户数量会很庞大。

Nagios XI是一款常用的应用程序、服务和网络监控软件,日前其被披露存在多个漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库中编号分别为CVE-2021-33177 CVE-2021-33178 CVE-2021-33179

概述

新思科技网络安全研究中心(CyRC)研究人员发现了Nagios XI存在三个漏洞。Nagios XI是一款广泛使用的应用程序、服务和网络监控软件,拥有访问网络以及服务器配置和报告的特权。

漏洞:

CVE-2021-33177 – 批量修改工具中的身份验证后 SQL 注入。

CVE-2021-33178 – NagVis 报告模块中的身份验证后路径遍历漏洞。

CVE-2021-33179 –  核心配置管理器上的反射型跨站点脚本 (XSS)。

受影响的软件

CVE-2021-33177

Nagios XI 5.8.5 之前的版本。

CVE-2021-33178

Nagios XI 5.8.6 之前的版本(使用NagVis 插件)。该漏洞并不存在于 Nagios XI 代码本身,但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中,该组件可以独立升级到 2.0.9 或更高版本,或者在不需要时卸载。

CVE-2021-33179

Nagios XI 5.8.4 之前的版本。

漏洞影响

CVE-2021-33177

有权访问批量修改工具的经过身份验证的用户(例如 admin)可以将任意 SQL 注入 UPDATE 语句。在默认配置中,这允许执行任意 PostgreSQL 函数。

CVSS 3.1 评分: 5.2 (中等)

CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C

CVE-2021-33178

有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户(例如 admin)可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。

CVSS 3.1 评分: 4.5(中等)

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

CVE-2021-33179

当用户点击恶意 URL 时,它可以在受攻击者的浏览器中执行任意 JavaScript 代码,所有 Nagios XI 本地会话数据都可用。

CVSS 3.1 评分: 4.3(中等)

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C

修复建议

CVE-2021-33177

升级到Nagios XI 5.8.5或更高版本。

请参考: Nagios XI Change Log - Nagios

CVE-2021-33178

NagVis插件升级到2.0.9或更高版本。此版本的 NagVis 插件绑定在 Nagios XI 5.8.6 或更高版本中。

请参考: Nagios XI Change Log - Nagios

CVE-2021-33179

升级到Nagios XI 5.8.4 或更高版本。

请参考:Nagios XI Change Log - Nagios

漏洞发现者

新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker®交互式应用安全测试(IAST)工具发现以上漏洞。

新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。

时间线

CVE-2021-33177

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年7月15日:Nagios XI  5.8.5 发布,修复了 CVE-2021-33177漏洞

2021年10月13日:新思科技发布漏洞报告

CVE-2021-33178

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年9月2日:NagVis 插件 2.0.9 发布,修复了 CVE-2021-33178漏洞

2021年10月13日:新思科技发布漏洞报告

CVE-2021-33179

2021年5月12日:首次披露该漏洞

2021年6月4日:Nagios安全团队验证并确认漏洞

2021年6月10日:Nagios XI 5.8.4 发布,修复了 CVE-2021-33179漏洞

2021年10月13日:新思科技发布漏洞报告

IaminChinanow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nagiosxi的一个RCE漏洞利用脚本
BaCde's Blog
06-14 949
登陆后的,比较鸡肋。4月份发现的,一直放着,后来看官网更新了,直接发出来吧。另外官方还有一个明显的sql注入没修复。不过也是登陆后,感兴趣的可以去看一下。 简要信息 版本: 5.6.13(5.6.11版本也存在问题,只需要把最后文件名字中的 - 去掉) 条件:登陆后 漏洞文件相关路径:/includes/components/xicore/export-rrd.php、includes/utils-rrdexport.inc.php 漏洞参数:step、start、end 环境 python3 reques
最新系统漏洞--Nagios XI远程执行代码漏洞
weixin_48555088的博客
10-22 473
最新系统漏洞2021年10月21日 受影响系统: Nagios XI <= 5.7.5 描述: CVE(CAN) ID: CVE-2021-3277 Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。 NagiosXI 5.7.5及之前版本存在远程代码执行漏洞。该漏洞源于程序未对custom-includes组件中的重命名功能进行正确验证。远程攻击者可通过上传php文件利用该漏洞导致远程代码执行。 <**> 建议: 厂
NagiosXI多个高危漏洞及修复方案
10-17 350
漏洞描述: NagiosXI近期爆出多个漏洞,包括未经身份验证的SQL注入和认证绕过、任意代码执行、特权提升、服务器端请求伪造和帐户劫持。综合利用这些漏洞可以获得root权限远程执行代码。 影响版本: NagiosXI<= 5.2.7 漏洞等级: 高危 修复建议: 1、升级到最新版本。 2、添加网站至云观测,及时了解网站组件突发/0day漏洞。(来源:郭盛华微信公众号) ...
Nagios XI远程命令执行漏洞复现(CVE-2019-20197)
weixin_44303986的博客
03-22 1606
Nagios(IPA: /ˈnɑːɡioʊs/)是电脑系统和网络监控程序,用于检测主机和服务,当异常发生和解除时能提醒用户;是基于GPLv2开发的开源软件
Nagios XI网络监控软件安装
weixin_43103905的博客
04-30 1603
访问官网: https://www.nagios.com进入到nagios xi的下载页面下载对应版本, 本文以linux系统版本为例。 安装步骤 如果没有可视化桌面可以使用wget指令下载到tmp目录下。 然后使用 cd /tmp tar xzf nagiosxi-5-4.7.el7.x86_64.tar.gz cd nagiosxi sudo ./fullinstall #(sudo很重要,没...
国内首个网络安全公益基金官网上线.pdf
09-19
网络安全公益基金的成立与运作、网络安全的重要性、公益活动在网络安全领域的意义、网络空间人才培养、企业社会责任的履行以及网络技术的最新发展,都是本部分内容所涵盖的知识点。 首先,国内首个网络安全公益基金...
2021年7月跟踪,芯片IP产业深度梳理:芯原股份VS新思科技(美).pdf
08-02
2021年7月跟踪,芯片IP产业深度梳理:芯原股份VS新思科技(美).pdf
新思科技全新嵌入式视觉处理器为人工智能芯片提供领先性能.pdf
07-11
新思科技推出的DesignWare ARCEV7x嵌入式视觉处理器是针对人工智能芯片和边缘应用的高性能解决方案,它在深度学习处理、安全性和多核架构方面具有领先的技术特点。 在深度学习处理方面,ARCEV7x嵌入式视觉处理器...
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
12-19
标题提及的新思科技发布的BSIMM 14报告,全称为Building Security In Maturity Model的第14版,是软件安全领域的一个重要参考框架。BSIMM是一个观察和度量软件安全活动的模型,旨在帮助企业理解和改进其软件安全实践...
新思科技推出综合电动汽车虚拟原型解决方案.pdf
09-04
新思科技的持续投资于虚拟原型技术,旨在为汽车制造商提供更全面的应用中心解决方案,降低开发成本,提升产品质量。 华为云也在边缘计算领域推出了创新解决方案,聚焦云边协同、边缘网络处理和轻量化运行时。边缘...
nagios-XI-5.4.11
11-22
nagios-XI 是收费的会提供技术支持 但也可以用只是限制了监控的主机数目
Nagios XI 网络监控软件中存在多个严重漏洞
smellycat000的专栏
09-21 226
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Nagios XI 网络监控软件中存在多个漏洞,可导致提权和信息泄露。这四个漏洞的编号从CVE-2023-40931到CVE-2023-40934,影响 Nagios XI 5.11.1及以下版本。研究员在2023年8月4日报送这些漏洞,厂商在9月11日已在版本5.11.2中修复。Outpost24 公司的研究员 Astrid Tedenbran...
搭建NagiosXI+InfluxDB+Grafana
weixin_43095402的博客
01-23 862
之前在公司搭建NagiosXI+InfluxDB+Grafana用于Nagios数据展示,所以把在CentOS7的环境上搭建的过程超详细记录了一下,以备后续参考: 虚拟机网络配置 由于公司做的网络策略,限制了大部分ip的外网权限,除了自己用的电脑外一时找不到外网ip,因此考虑用虚拟机改为NAT模式来搭建,这样做的目的是可以用xshell等SSH客户端进行方便的虚拟机管理。 1.打开目录:cd /e...
nagios监控服务器搭建详解
山的博客
08-11 549
nagios监控服务器搭建详解nagios监控服务器组成一、 搭建Nagios-server(监控端)二、 搭建Nagios-client(被监控客户端) 本文用虚拟机centos7搭建nagios作为示例 nagios监控服务器组成 监控端主服务器(Nagios-server)IP:192.168.126.147 被监控客户端服务器(Nagios-client)IP:192.168.126.1...
分布式系统开发实战:分布式监控,分布式监控常用技术
最新发布
2401_83384536的博客
04-03 1113
Alexei Vladishev创建了Zabbix项目,当前处于活跃开发状态,Zabbix SIA对其提供支持。Zabbix是一个企业级的、开源的、分布式的监控套件。Zabbix可以监控服务器、虚拟机和网络设备的运行状况。Zabbix利用灵活的告警机制,允许用户对事件发送基于E-mail的告警通知,这样可以保证用户快速地对问题做出响应。Zabbix提供了数据采集强大的性能和可扩展性;提供了Zabbix代理,让分布式监控得以实现;Zabbix带有一个基于Web的界面、安全的用户认证和灵活的用户权限架构;
CentOS 7 上 企业级监控 Nagios XI 的安装过程
一个烂人的随手笔记
11-04 8857
官方文档https://assets.nagios.com/downloads/nagiosxi/docs/XI_Manual_Installation_Instructions.pdf 重要:安装在一个干净的,最小化的系统 (官方文档强烈建议!不要在已有的CentOS 系统上安装,因为整个安装包会自动下载和编译,安装相关软件) # yum update# yum wget
Nagiosxi一键部署
たかなし りっか
11-20 407
shell> curl https://assets.nagios.com/downloads/nagiosxi/install.sh | sh
适用于 DevOps 和 SRE 的顶级监控工具
u012516914的专栏
06-11 348
监控已经从简单的最佳实践转变为任何产品发布清单上的必需品。选择满足可观察性需求并确保您为客户提供服务的可靠性的工具至关重要。多年来,随着 DevOps 和 SRE 实践的采用增加,监控已经从简单的主动实践转变为任何产品发布清单的必需品。我们现在使用不同的工具进行各种监控检查,以确保系统或服务的所有组件始终可用且正常运行。监控根据被监控的组件进行分段 -网络监控、服务器监控...
搭建基于Nagios的监控系统——之安装Nagios Core
永不放弃的地盘
03-07 8208
Linux 监控 Nagios
新思科技 TRNG 配置指南
12-13
以下是新思科技 TRNG 配置指南: 1. 确保您的系统已经安装了新思科技 TRNG 驱动程序。 2. 打开终端并输入以下命令以检查 TRNG 是否已正确安装: ```shell ls /dev/hwrng ``` 如果返回“/dev/hwrng”,则表示 TRNG 已正确安装。 3. 在您的应用程序中,使用以下代码来读取 TRNG 生成的随机数: ```python with open('/dev/hwrng', 'rb') as f: random_bytes = f.read(num_bytes) ``` 其中“num_bytes”是您需要的随机字节数。 4. 如果您需要更高级的随机数生成器,可以使用“random”模块。以下是一个例子: ```python import random random.seed('/dev/hwrng') random_number = random.randint(0, 100) ``` 这将使用 TRNG 作为随机数生成器的种子,并生成一个介于0和100之间的随机整数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值