Akute Gefahr für Überwachungs-Software Nagios XI

Ein MetaSploit-Modul nutzt mehrere Schwachstellen in Nagios XI so geschickt aus, dass ein Angreifer den Monitoring-Server übernehmen kann.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Gefahr für Überwachungs-Software Nagios XI
Lesezeit: 2 Min.

Nagios wird häufig zur Überwachung von Diensten und Servern eingesetzt. Bereits im April veröffentlichten Sicherheitsforscher eine Serie von Sicherheitslücken der Monitoring-Software. Durch deren geschickte Kombination kann ein Angreifer Root-Rechte auf dem Nagios-Server erlangen. Ein soeben veröffentlichtes MetaSploit-Modul erledigt das im Handumdrehen; Admins sollten deshalb vorsichtshalber nochmal überpürfen, ob ihre Nagios-XI-Installation auf dem aktuellen Stand ist.

Betroffen sind laut Hersteller die Versionen Nagios XI 5.2.x bis 5.4.x; er empfiehlt ein Upgrade auf mindestens Version 5.4.13, in der die Fehler behoben sind. Die öffentlich verfügbaren Exploits nutzen folgende Fehler aus:

  • CVE-2018-8734 - SQL Injection
  • CVE-2018-8733 - Authentication Bypass
  • CVE-2018-8735 - Command Injection
  • CVE-2018-8736 - Privilege Escalation

Ein Blogbeitrag der Entdecker namens NagiosXI Vulnerability Chaining; Death By a Thousand Cuts beschreibt, wie man damit zunächst als nicht angemeldeter Benutzer die Nagios-XI-Konfiguration so ändert, dass der Dienst als Root läuft (CVE-2018-8733); danach besorgt sich der Angreifer einen API-Key (CVE-2018-8734), legt damit einen neuen Admin-User an und meldet sich als dieser an. Dann schleust er einen System-Befehl ein (CVE-2018-8735) und erhöht dabei seine Rechte (CVE-2018-8736).

Das MetaSploit-Modul "Chained Remote Code Execution" erledigt all das in einem Rutsch und räumt danach auch noch auf, indem es den verräterischen neuen User löscht. Wer also Nagios einsetzt, sollte jetzt schleunigst sicherstellen, dass seine Server dafür nicht mehr anfällig sind. (ju)