日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
IT監(jiān)控開源軟件Nagios曝13個(gè)漏洞,攻擊鏈完整

根據(jù)最新消息,Nagios軟件中包含13個(gè)漏洞,極有可能被惡意利用,使得攻擊者可以劫持基礎(chǔ)設(shè)施。漏洞涵蓋了遠(yuǎn)程代碼執(zhí)行和特權(quán)升級(jí)。

完整的漏洞列表

CVE-2020-28903 – Nagios XI中的XSS漏洞,攻擊者可以控制融合服務(wù)器。

CVE-2020-28905 – Nagios Fusion可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行進(jìn)行身份驗(yàn)證

CVE-2020-28902 –通過對(duì)cmd_subsys.php中的時(shí)區(qū)參數(shù)進(jìn)行命令注入,將Nagios Fusion特權(quán)從apache升級(jí)到nagios

CVE-2020-28901 –通過對(duì)cmd_subsys.php中component_dir參數(shù)的命令注入,將Nagios Fusion特權(quán)從apache升級(jí)到nagios

CVE-2020-28904 –通過安裝惡意組件將Nagios Fusion特權(quán)從apache升級(jí)到nagios

CVE-2020-28900 – 通過upgrade_to_latest.sh將Nagios Fusion和XI特權(quán)從Nagios升級(jí)到root

CVE-2020-28907 – 通過upgrade_to_latest.sh將Nagios Fusion特權(quán)從apache升級(jí)到root并修改了代理配置。

CVE-2020-28906 –通過修改fusion-sys.cfg / xi-sys.cfg,將Nagios Fusion和XI特權(quán)從nagios升級(jí)到root

CVE-2020-28909 –通過修改可以作為sudo執(zhí)行的腳本,將Nagios Fusion特權(quán)從nagios升級(jí)到root

CVE-2020-28908 –通過cmd_subsys.php中的命令注入,將Nagios Fusion特權(quán)從apache升級(jí)到nagios

CVE-2020-28911 – Nagios Fusion信息泄露:低權(quán)限用戶可以發(fā)現(xiàn)用于對(duì)融合服務(wù)器進(jìn)行身份驗(yàn)證的密碼

CVE-2020-28648 – Nagios XI認(rèn)證遠(yuǎn)程代碼執(zhí)行

CVE-2020-28910 – Nagios XI getprofile.sh特權(quán)升級(jí)

其中,最嚴(yán)重的漏洞(CVE-2020-28648)作為一個(gè)不正確的輸入驗(yàn)證漏洞,主要存在于Nagios XI的自動(dòng)發(fā)現(xiàn)組件中,可以被經(jīng)過身份驗(yàn)證的攻擊者用來執(zhí)行遠(yuǎn)程代碼,該漏洞CVSS評(píng)分為8.8,影響到5.7.5之前的版本。一旦攻擊者損害了在一個(gè)客戶站點(diǎn)上的Nagios軟件安裝,就可以將受污染的數(shù)據(jù)發(fā)送到上游Nagios Fusion服務(wù)器,攻擊所有其他客戶。

攻擊鏈

為了更好地理解危害性,研究人員設(shè)計(jì)了一個(gè)包含漏洞利用的攻擊鏈:

  • 使用RCE和特權(quán)升級(jí),在受感染客戶站點(diǎn)的Nagios XI服務(wù)器上獲得根級(jí)代碼執(zhí)行
  • 污染返回到Nagios Fusion的數(shù)據(jù)從而觸發(fā)XSS
  • 利用觸發(fā)XSS的會(huì)話,使RCE和Priv危害Nagios Fusion服務(wù)器
  • 獲得憑據(jù)并利用其余客戶站點(diǎn)上的 XI服務(wù)器進(jìn)行攻擊

綜上所述,Nagios中發(fā)現(xiàn)的漏洞具備利用可能及危害性,此類針對(duì)開源軟件的攻擊將對(duì)目標(biāo)組織產(chǎn)生巨大影響。

注:研究人員在2020年10月向Nagios報(bào)告了這些漏洞,且該公司在11月對(duì)這些漏洞進(jìn)行了處理。

參考來源:securityaffairs

【責(zé)任編輯:趙寧寧 TEL:(010)68476606】


文章題目:IT監(jiān)控開源軟件Nagios曝13個(gè)漏洞,攻擊鏈完整
文章來源:http://www.5511xx.com/article/djhhjdp.html