Los investigadores de ciberseguridad revelaron detalles sobre 13 vulnerabilidades en la aplicación de monitoreo de red Nagios que podrían ser abusadas por un adversario para secuestrar la infraestructura sin la intervención de ningún operador.
«En un entorno de telecomunicaciones, donde una empresa de telecomunicaciones está monitoreando miles de sitios, si el sitio de un cliente está completamente comprometido, un atacante puede usar las vulnerabilidades para comprometer a la empresa de telecomunicaciones y luego a todos los demás sitios de clientes monitoreados», Adi Ashkenazy, CEO de ciberseguridad australiana firma Skylight Cyber, dijo a The Hacker News por correo electrónico.
Nagios es una herramienta de infraestructura de TI de código abierto análoga a SolarWinds Network Performance Monitor (NPM) que ofrece servicios de monitoreo y alerta para servidores, tarjetas de red, aplicaciones y servicios.
Los problemas, que consisten en una combinación de ejecución de código remoto autenticado (RCE) y fallas de escalada de privilegios, se descubrieron e informaron a Nagios en octubre de 2020, luego de lo cual se solucionaron en noviembre .
El principal de ellos es CVE-2020-28648 (puntuación CVSS: 8,8), que se refiere a una validación de entrada incorrecta en el componente de descubrimiento automático de Nagios XI que los investigadores utilizaron como punto de partida para desencadenar una cadena de exploits que une un un total de cinco vulnerabilidades para lograr un «poderoso ataque ascendente».
«Es decir, si nosotros, como atacantes, comprometemos el sitio de un cliente que está siendo monitoreado usando un servidor Nagios XI, podemos comprometer el servidor de administración de la compañía de telecomunicaciones y todos los demás clientes que están siendo monitoreados», dijeron los investigadores en un artículo publicado. la semana pasada.
Dicho de otra manera; el escenario de ataque funciona apuntando a un servidor Nagios XI en el sitio del cliente, utilizando CVE-2020-28648 y CVE-2020-28910 para obtener RCE y elevar los privilegios a «root». Con el servidor ahora comprometido de manera efectiva, el adversario puede enviar datos contaminados al servidor Nagios Fusion ascendente que se utiliza para proporcionar visibilidad centralizada en toda la infraestructura al sondear periódicamente los servidores Nagios XI.
«Al manchar los datos devueltos desde el servidor XI bajo nuestro control, podemos activar Cross-Site Scripting [CVE-2020-28903] y ejecutar código JavaScript en el contexto de un usuario de Fusion», dijo el investigador de Skylight Cyber Samir Ghanem.
La siguiente fase del ataque aprovecha esta capacidad de ejecutar código JavaScript arbitrario en el servidor Fusion para obtener RCE (CVE-2020-28905) y posteriormente elevar los permisos (CVE-2020-28902) para tomar el control del servidor Fusion y, en última instancia, entrar en servidores XI ubicados en otros sitios de clientes.
Los investigadores también han publicado una herramienta de post-explotación basada en PHP llamada SoyGun que encadena las vulnerabilidades y «permite que un atacante con credenciales de usuario de Nagios XI y acceso HTTP al servidor Nagios XI tome el control total de una implementación de Nagios Fusion».
A continuación, se incluye un resumen de las 13 vulnerabilidades:
- CVE-2020-28648 – Ejecución remota de código autenticado por Nagios XI (desde el contexto de un usuario con pocos privilegios)
- CVE-2020-28900 : escalamiento de privilegios de Nagios Fusion y XI de nagios a root a través de upgrade_to_latest.sh
- CVE-2020-28901 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante la inyección de comandos en el parámetro component_dir en cmd_subsys.php
- CVE-2020-28902 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante la inyección de comandos en el parámetro de zona horaria en cmd_subsys.php
- CVE-2020-28903 – XSS en Nagios XI cuando un atacante tiene control sobre un servidor fusionado
- CVE-2020-28904 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante la instalación de componentes maliciosos
- CVE-2020-28905 – Ejecución remota de código autenticado por Nagios Fusion (desde el contexto de usuario con privilegios bajos)
- CVE-2020-28906 – Escalada de privilegios de Nagios Fusion y XI de nagios a root mediante la modificación de fusion-sys.cfg / xi-sys.cfg
- CVE-2020-28907 – Escalada de privilegios de Nagios Fusion de apache a root a través de upgrade_to_latest.sh y modificación de la configuración del proxy
- CVE-2020-28908 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante inyección de comandos (causada por una desinfección deficiente) en cmd_subsys.php
- CVE-2020-28909 – Escalada de privilegios de Nagios Fusion de nagios a root mediante la modificación de scripts que se pueden ejecutar como sudo
- CVE-2020-28910 – Escalada de privilegios getprofile.sh de Nagios XI
- CVE-2020-28911 – Divulgación de información de Nagios Fusion: el usuario con menos privilegios puede autenticarse en el servidor fusionado cuando se almacenan las credenciales
Con SolarWinds siendo víctima de un importante ataque a la cadena de suministro el año pasado, apuntar a una plataforma de monitoreo de red como Nagios podría permitir a un actor malintencionado orquestar intrusiones en las redes corporativas, expandir lateralmente su acceso a la red de TI y convertirse en un punto de entrada para amenazas más sofisticadas .
«La cantidad de esfuerzo que se requirió para encontrar estas vulnerabilidades y explotarlas es insignificante en el contexto de atacantes sofisticados, y específicamente estados-nación», dijo Ghanem.
«Si pudiéramos hacerlo como un proyecto paralelo rápido, imagínense lo simple que es esto para las personas que dedican todo su tiempo a desarrollar este tipo de exploits. Combínelo con la cantidad de bibliotecas, herramientas y proveedores que están presentes y se pueden aprovechar en una red moderna, y tenemos un problema importante en nuestras manos «.
Fuente: www.thehackernews.com
