Sicherheitslücke beim Netzwerkmonitor Nagios

Der "Nagios Remote Plugin Executor" führt unter Umständen eingeschleuste Befehle aus. Diese Umstände deuten allerdings schon auf eine generell unsichere Konfiguration hin.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Lesezeit: 1 Min.

Via NRPE kann man Ressourcen auf externen Systemen überwachen.

(Bild: Nagios )

In einem Sicherheits-Advisory warnt Dawid Golunski vor einem ernsten Problem des Nagios Remote Plugin Executor (NPRE), einer beliebten Erweiterung des Netzwerk-Monitoring-Toolkits Nagios. Via NPRE kann man übers Netz vordefinierte Nagios-Plugins ausführen; das kommt oft zum Einsatz, um bestimmte lokale Informationen abzurufen. Baut ein Angreifer die Kommandozeilenparameter zum Aufruf eines solchen Moduls ein Newline-zeichen ein (\n), kann er darüber beliebige Befehle einschleusen und ausführen.

Betroffen ist NRPE bis Version 2. 15 wenn folgende Voraussetzungen erfüllt sind:

  • Der Angreifer kann mit dem NRPE-Dienst sprechen. Das kann einem lokalen Netz durchaus der Fall sein; für externe Angreifer sollte das nicht ohne weiteres möglich sein.
  • In der Konfiguration in nrpe.cfg wurde die Übergabe von Parametern explizit mit dont_blame_nrpe=1 aktiviert; davor wird wegen der damit verbundenen Risiken an vielen Stellen gewarnt. Allerdings gibt es viele Tutorials, die es trotzdem empfehlen.

Ein vorgeschlagener Fix nimmt das Newline-Zeichen in die Liste der NASTY_METACHARS auf. Das Debian-Team arbeitet bereits an Updates. Als Workaround bis zur Installation einer gefixten Version, kann man sich schützen, indem man die zu übergebenden Argumente in der Konfig-Datei in Anführungszeichen setzt. (ju)