◆概要
2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、Nagios XI の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートや、認証情報の強化により対策しましょう。
◆分析者コメント
脆弱性は Nagios XI の管理用 Web コンソールへのログインに成功すれば、ログインしたアカウントの権限に依存せずに悪用可能なものです。ソフトウェアの性質上、内部ネットワークでの使用が想定されているため、管理用 Web コンソールの低権限アカウントに弱い認証情報を設定する組織が多いと考えられます。ソフトウェアのアップデートが難しい場合は、Nagios XI の管理用 Web コンソールに登録されているアカウントのパスワードは、すべて強固なものに設定して対策しましょう。
◆深刻度(CVSS)
[CVSS v3.1]
本記事の執筆時点で CVSS 値の情報は公開されていません。
◆影響を受けるソフトウェア
Nagios XI のバージョン 2024R1.0.1 およびそれよりも古いバージョンが、当該脆弱性の影響を受けると報告されています。
◆解説
ネットワークを管理するためのソフトウェアである Nagios XI に、遠隔コード実行や管理用 Web コンソール上での権限昇格が可能となる脆弱性が報告されています。
脆弱性は Nagios XI の管理用 Web コンソールへの認証に成功したアカウントのみからアクセス可能な monitoringwizard.php に存在する SQL Injection の脆弱性です。Nagios XI では管理用 Web コンソールの管理者権限機能として OS コマンドの実行が可能です。よってNagios XI の管理用 Web コンソールへの認証に成功した攻撃者は、脆弱性を悪用して管理者権限 API キーを入手して管理者アカウントを作成し、OS コマンドの実行機能を悪用すれば、脆弱な Nagios XI が稼働しているサーバへの侵入が可能です。
◆対策
Nagios XI のバージョンを 2024R1.0.1 よりも新しいバージョンにアップデートしてください。脆弱性には管理用 Web コンソールへの認証が必要であるため、Nagios XI の管理用 Web コンソールに認証可能なアカウントの認証情報の強化によっても、脆弱性を悪用されてしまう可能性を軽減可能です。
◆関連情報
[1] Nagios 公式
https://www.nagios.com/changelog/
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-24401
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24401
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Nagios XI への侵入を試みるエクスプロイトコードが公開されています。
GitHub - Nassim-Asrir/ZDI-24-020
https://github.com/MAWK0235/CVE-2024-24401/blob/main/MawkNagiosXIPOC.py
#--- で始まる行は執筆者によるコメントです。
2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、Nagios XI の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートや、認証情報の強化により対策しましょう。
◆分析者コメント
脆弱性は Nagios XI の管理用 Web コンソールへのログインに成功すれば、ログインしたアカウントの権限に依存せずに悪用可能なものです。ソフトウェアの性質上、内部ネットワークでの使用が想定されているため、管理用 Web コンソールの低権限アカウントに弱い認証情報を設定する組織が多いと考えられます。ソフトウェアのアップデートが難しい場合は、Nagios XI の管理用 Web コンソールに登録されているアカウントのパスワードは、すべて強固なものに設定して対策しましょう。
◆深刻度(CVSS)
[CVSS v3.1]
本記事の執筆時点で CVSS 値の情報は公開されていません。
◆影響を受けるソフトウェア
Nagios XI のバージョン 2024R1.0.1 およびそれよりも古いバージョンが、当該脆弱性の影響を受けると報告されています。
◆解説
ネットワークを管理するためのソフトウェアである Nagios XI に、遠隔コード実行や管理用 Web コンソール上での権限昇格が可能となる脆弱性が報告されています。
脆弱性は Nagios XI の管理用 Web コンソールへの認証に成功したアカウントのみからアクセス可能な monitoringwizard.php に存在する SQL Injection の脆弱性です。Nagios XI では管理用 Web コンソールの管理者権限機能として OS コマンドの実行が可能です。よってNagios XI の管理用 Web コンソールへの認証に成功した攻撃者は、脆弱性を悪用して管理者権限 API キーを入手して管理者アカウントを作成し、OS コマンドの実行機能を悪用すれば、脆弱な Nagios XI が稼働しているサーバへの侵入が可能です。
◆対策
Nagios XI のバージョンを 2024R1.0.1 よりも新しいバージョンにアップデートしてください。脆弱性には管理用 Web コンソールへの認証が必要であるため、Nagios XI の管理用 Web コンソールに認証可能なアカウントの認証情報の強化によっても、脆弱性を悪用されてしまう可能性を軽減可能です。
◆関連情報
[1] Nagios 公式
https://www.nagios.com/changelog/
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-24401
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24401
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Nagios XI への侵入を試みるエクスプロイトコードが公開されています。
GitHub - Nassim-Asrir/ZDI-24-020
https://github.com/MAWK0235/CVE-2024-24401/blob/main/MawkNagiosXIPOC.py
#--- で始まる行は執筆者によるコメントです。
