工業網絡安全公司Claroty的研究人員在Nagios廣泛使用的網絡管理產品中發現了近12個漏洞。這些缺陷可能會給組織帶來嚴重的風險，因為這些類型的產品可能成為惡意攻擊者的誘人目標。已發現影響Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard的11個安全漏洞。供應商在8月份發布了針對每個受影響產品的補丁。Nagios的產品有著非常廣泛的行業覆蓋率，政府、教育、醫療保健和醫學、軍用、國防工業、研究與開發、制造業、零售、能源、電信、銀行與金融，等等，許多知名企業如康卡斯特（Comcast）、殼牌（Shell）、DHL、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）、西門子、東芝都是其客戶。因此，Claroty公司的研究人員不無擔心地指出，網絡安全行業和用戶應當特別關注這批漏洞和受影響產品的升級更新，謹防類似Solarwinds和Kaseya軟件供應鏈攻擊事件重演。

　　這一漏洞披露為何如此重要？

　　Nagios Core是一種流行的開源工具，用于監視IT基礎設施的性能問題、事件調度和處理、警報以及與網絡運行狀況相關的更多功能。Nagios XI是一個使用Nagios Core的基于web的專有平臺。XI通過增加額外的特性來增強IT操作，從而擴展了Core的能力。網絡運營中心（NOC）員工和系統管理員使用該平臺查看被管理服務器和工作站的當前狀態。Nagios表示，全球有數千家組織使用其軟件監控網絡，康卡斯特（Comcast）、殼牌（Shell）、DHL、歐萊雅（L 'Oreal）、德州儀器（Texas Instruments）、西門子、東芝（Toshiba）、Thales、Yahoo等知名公司都在其網站上被列為用戶。

　　之所以這個Nagios XI的漏洞讓人如此關注，就是因為它作為網絡管理產品的特殊地位和作用。你一定不會忘記SolarWinds和Kaseya攻擊事件，它們對IT和網絡管理供應鏈的核心的破壞性入侵，是多么的讓人觸目驚心。在這兩個案例中，所謂的國家威脅行為者都能夠滲透到供應商用來向客戶發送軟件更新的機制中，并用包括勒索軟件在內的惡意軟件感染這些更新。在這兩種情況下，成千上萬的客戶安裝了受損的更新，兩家供應商與客戶建立的信任受到了嚴重損害。

　　SolarWinds和Kaseya成為目標可能不僅是因為它們龐大且有影響力的客戶基礎，還因為它們各自的技術可以接入企業網絡，無論是管理IT、運營技術（OT）還是物聯網（IoT）設備。網絡管理系統對企業網絡中的核心服務器、設備和其他關鍵組件進行監控；此外，考慮到這些系統用于監視服務器，它們通常包含許多網絡秘密，如憑證或API令牌，這些對攻擊者很有吸引力。因此，你不能不聯想Nagios XI同樣會成為攻擊者的重點目標。

　　Nagios公司在中國有業務開展，其中文網站宣傳的產品優勢主要有八個方面，如下圖所示：

　　Nagios的解決方案覆蓋眾多行業部門，包括政府、教育、醫療保健和醫學、軍用、國防工業、研究與開發、制造業、零售、能源、電信、銀行與金融、運輸及物流、航天、執法、應急管理、旅游、媒體、服務、非營利等。

　　11個漏洞概況

　　Team82團隊的研究發現了Nagios XI可利用的11個漏洞，可能導致遠程代碼執行，憑據盜竊，網絡釣魚攻擊，本地升級特權用戶權限等。通過組合利用其中一些漏洞，攻擊者可以使用高權限（root）實現身份驗證后的遠程代碼執行。

　　CVE-2021-37353: 1.1.3版本之前的Nagios XI Docker Wizard容易受到服務器端請求偽造（SSRF）的攻擊，原因是table_population.php中的不正確的衛生處理；

　　CVE-2021-37352: Nagios XI在5.8.5版本之前存在一個開放重定向漏洞，可能導致欺騙。要利用該漏洞，攻擊者可以發送一個具有特殊URL的鏈接，并說服用戶單擊該鏈接。

　　CVE-2021-37351: 5.8.5版本之前的Nagios XI容易受到不安全權限的攻擊，允許未經身份驗證的用戶通過對服務器的精心設計的HTTP請求訪問受保護的頁面。

　　CVE-2021-37350: Nagios XI 5.8.5版本之前的批量修改工具存在SQL注入漏洞，原因是輸入清理不當。

　　CVE-2021-37349: 5.8.5版本之前的Nagios XI容易受到本地權限提升的影響，因為cleaner.php不清理從數據庫讀取的輸入。

　　CVE-2021-37348: 在5.8.5版本之前的Nagios XI很容易通過對index.php中的路徑名的不當限制而包含本地文件。

　　CVE-2019-37347: 5.8.5版本之前的Nagios XI容易受到本地權限提升的影響，因為getprofile.sh不驗證它接收到的作為參數的目錄名。

　　CVE-2021-37346: 版本1.4.8之前的Nagios XI WatchGuard Wizard容易受到遠程代碼執行的攻擊，原因是OS命令中使用的特殊元素被不當中和（操作系統命令注入）。

　　CVE-2021-37345: 5.8.5版本之前的Nagios XI容易受到本地權限提升的影響，因為一些權限提升的腳本正在從/var目錄導入到XI-sys.cfg。

　　CVE-2021-37344: 2.5.7版之前的Nagios XI Switch Wizard容易受到遠程代碼執行的攻擊，因為它會對操作系統命令中使用的特殊元素進行不恰當的中和（操作系統命令注入）。

　　CVE-2021-37343: Nagios XI5.8.5版的AutoDiscovery組件存在路徑遍歷漏洞，可能導致運行Nagios的用戶的安全上下文下的后認證RCE。

　　Claroty創建了一個概念驗證（PoC）漏洞，展示了經過身份驗證的攻擊者如何將一些漏洞鏈接起來，以使用根權限執行shell命令。

　　Nagios XI使用許多腳本和可執行文件，并支持SNMP、SSH和Windows Management Instrumentation （WMI）等協議來調用命令并從其監視的設備派生統計信息。為了能夠使用這些協議，配置設備的IT管理員必須向Nagios XI提供憑據，以便連接到這些設備。這些憑據保存在Nagios數據庫中以供進一步使用。Nagios還允許安裝插件，從而擴展了Nagios XI的功能。缺點是，這也擴展了威脅參與者可用的攻擊面，并增加了可能存在的漏洞的數量。

　　雖然在很多情況下使用Nagios都需要身份驗證，但研究人員指出，Nagios XI極大地擴展了平臺的攻擊面的另一個特性是自動登錄特性。這個特性在構建時考慮到了NOC管理員，它允許Nagios管理員設置一個只讀用戶帳戶，任何用戶都可以連接該帳戶，而不需要憑據。雖然該特性可能對NOC有用，但允許用戶輕松連接到平臺并查看信息，而不需要憑據，也允許攻擊者獲得平臺中的用戶帳戶的訪問權，從而使任何認證后漏洞無需身份驗證就可以利用。

　　安全建議

　　今年8月，Nagios通過對Nagios XI、Nagios XI Docker Wizard、Nagios XI WatchGuard Wizard和Nagios XI Switch Wizard的更新，解決了Team82私下披露的漏洞。

　　除了及時更新那些受影響的系統外，用戶還應該遵守一些保證網絡管理系統安全的基本規則。

　　信任：這些系統需要廣泛的信任和對網絡組件的訪問，以便正確地監控網絡行為和性能，防止故障和低效。它們還可以通過防火墻擴展到您的網絡之外，以處理遠程服務器和連接。因此，這些集中式系統肯定是攻擊者的理想目標，攻擊者可以利用這類產品的漏洞，并試圖通過入侵控制它來訪問、操縱和破壞其他系統。

　　監控：對網絡管理系統的訪問應受到密切監視，并僅限于有特權的內部人士。所有的連接和活動都應該被監視和警告。