Nagios Core ist angreifbar: Sicherheitslücken in Server-Überwachungssoftware

Nagios Core, eine Software zur Server-Überwachung, weist derzeit zwei kritische Sicherheitslücken auf. Angreifer können durch sie die absolute Systemkontrolle erhalten. Die aktuelle Version 4.2.4 schließt die Lücken.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
An der Tastatur

(Bild: dpa, Karl-Josef Hildenbrand / Symbolbild)

Lesezeit: 2 Min.
Von
  • Lea Lang

Die Server-Überwachungssoftware Nagios Core ist angreifbar: Durch zwei Sicherheitslücken können Hacker das gesamte System kontrollieren und Befehle als root ausführen, warnt Sicherheitsexperte Dawid Golunski, der die Schwachstellen entdeckt hat.

Die erste Lücke namens CVE-2016-9565 klafft im Web-Frontend von Nagios. Es zeigt beim Login einen RSS-Feed vom Hersteller Nagios an und legt beim Parsen offenbar nicht genügend Sorgfalt an den Tag. Laut Golunski kann ein Angreifer über den RSS-Feed beliebige Befehle einschleusen, die der Server, auf dem das Frontend läuft, im Kontext des Nutzers www-data/nagios ausführt. Dazu muss der Angreifer allerdings entweder in der Position des Man-in-the-Middle sein, um die Daten auf dem Transportweg zu manipulieren oder aber Kontrolle darüber haben, was beim Abruf des Nagios-Feeds ausgeliefert wird. Letzteres kann der Angreifer zum Beispiel erreichen, indem er einen DNS-Angriff fährt.

In Kombination mit der zweiten durch Golunski entdeckten Lücke namens CVE-2016-9566 kann der Angreifer noch größeren Schaden anrichten und Befehle sogar als root ausführen. Der Fehler tritt im Core Daemon bei der Verarbeitung von Log-Dateien auf. Der Sicherheitsexperte erklärt im dazugehörigen Advisory ausführlich, wie Angreifer durch die oben beschriebene Lücke zunächst in den Server eindringen und sich durch die zweite Lücke anschließend Root-Rechte verschaffen können. Als Grundlage dient eine Nagios-Standardinstallation. Ferner hat Golunski ein Proof-of-Concept veröffentlicht.

Die Schwachstelle im Web-Frontend (CVE-2016-9565) hat Nagios laut Timeline bereits Ende Oktober mit Version 4.2.2 geschlossen, die andere Lücke (CVE-2016-9566) erst Anfang Dezember mit Version 4.2.4. Wer Nagios im Einsatz hat, sollte umgehend auf die aktuelle Version umsteigen.

Update 12:15, 22.12.2016: Wer Debian- oder Ubuntu-Pakete nutzt, sollte auch beachten: Nagios-Schwachstelle: Fixes für Version 3 lassen auf sich warten (lel)