Nagios Core ist angreifbar: Sicherheitslücken in Server-Überwachungssoftware
Nagios Core, eine Software zur Server-Überwachung, weist derzeit zwei kritische Sicherheitslücken auf. Angreifer können durch sie die absolute Systemkontrolle erhalten. Die aktuelle Version 4.2.4 schließt die Lücken.
(Bild: dpa, Karl-Josef Hildenbrand / Symbolbild)
- Lea Lang
Die Server-Überwachungssoftware Nagios Core ist angreifbar: Durch zwei Sicherheitslücken können Hacker das gesamte System kontrollieren und Befehle als root ausführen, warnt Sicherheitsexperte Dawid Golunski, der die Schwachstellen entdeckt hat.
Die erste Lücke namens CVE-2016-9565 klafft im Web-Frontend von Nagios. Es zeigt beim Login einen RSS-Feed vom Hersteller Nagios an und legt beim Parsen offenbar nicht genügend Sorgfalt an den Tag. Laut Golunski kann ein Angreifer über den RSS-Feed beliebige Befehle einschleusen, die der Server, auf dem das Frontend läuft, im Kontext des Nutzers www-data/nagios ausführt. Dazu muss der Angreifer allerdings entweder in der Position des Man-in-the-Middle sein, um die Daten auf dem Transportweg zu manipulieren oder aber Kontrolle darüber haben, was beim Abruf des Nagios-Feeds ausgeliefert wird. Letzteres kann der Angreifer zum Beispiel erreichen, indem er einen DNS-Angriff fährt.
Code-Ausführung mit Root-Rechten
In Kombination mit der zweiten durch Golunski entdeckten Lücke namens CVE-2016-9566 kann der Angreifer noch größeren Schaden anrichten und Befehle sogar als root ausführen. Der Fehler tritt im Core Daemon bei der Verarbeitung von Log-Dateien auf. Der Sicherheitsexperte erklärt im dazugehörigen Advisory ausführlich, wie Angreifer durch die oben beschriebene Lücke zunächst in den Server eindringen und sich durch die zweite Lücke anschließend Root-Rechte verschaffen können. Als Grundlage dient eine Nagios-Standardinstallation. Ferner hat Golunski ein Proof-of-Concept veröffentlicht.
Updates schließen Lücken
Die Schwachstelle im Web-Frontend (CVE-2016-9565) hat Nagios laut Timeline bereits Ende Oktober mit Version 4.2.2 geschlossen, die andere Lücke (CVE-2016-9566) erst Anfang Dezember mit Version 4.2.4. Wer Nagios im Einsatz hat, sollte umgehend auf die aktuelle Version umsteigen.
Update 12:15, 22.12.2016: Wer Debian- oder Ubuntu-Pakete nutzt, sollte auch beachten: Nagios-Schwachstelle: Fixes für Version 3 lassen auf sich warten (lel)
