Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.06.18(火)

Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)

2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
(イメージ画像)
(イメージ画像) 全 1 枚 拡大写真
◆概要
 2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、Nagios XI の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートや、認証情報の強化により対策しましょう。

◆分析者コメント
 脆弱性は Nagios XI の管理用 Web コンソールへのログインに成功すれば、ログインしたアカウントの権限に依存せずに悪用可能なものです。ソフトウェアの性質上、内部ネットワークでの使用が想定されているため、管理用 Web コンソールの低権限アカウントに弱い認証情報を設定する組織が多いと考えられます。ソフトウェアのアップデートが難しい場合は、Nagios XI の管理用 Web コンソールに登録されているアカウントのパスワードは、すべて強固なものに設定して対策しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
本記事の執筆時点で CVSS 値の情報は公開されていません。

◆影響を受けるソフトウェア
 Nagios XI のバージョン 2024R1.0.1 およびそれよりも古いバージョンが、当該脆弱性の影響を受けると報告されています。

◆解説
 ネットワークを管理するためのソフトウェアである Nagios XI に、遠隔コード実行や管理用 Web コンソール上での権限昇格が可能となる脆弱性が報告されています。

 脆弱性は Nagios XI の管理用 Web コンソールへの認証に成功したアカウントのみからアクセス可能な monitoringwizard.php に存在する SQL Injection の脆弱性です。Nagios XI では管理用 Web コンソールの管理者権限機能として OS コマンドの実行が可能です。よってNagios XI の管理用 Web コンソールへの認証に成功した攻撃者は、脆弱性を悪用して管理者権限 API キーを入手して管理者アカウントを作成し、OS コマンドの実行機能を悪用すれば、脆弱な Nagios XI が稼働しているサーバへの侵入が可能です。

◆対策
 Nagios XI のバージョンを 2024R1.0.1 よりも新しいバージョンにアップデートしてください。脆弱性には管理用 Web コンソールへの認証が必要であるため、Nagios XI の管理用 Web コンソールに認証可能なアカウントの認証情報の強化によっても、脆弱性を悪用されてしまう可能性を軽減可能です。

◆関連情報
[1] Nagios 公式
  https://www.nagios.com/changelog/
[2] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2024-24401
[3] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24401

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して Nagios XI への侵入を試みるエクスプロイトコードが公開されています。

  GitHub - Nassim-Asrir/ZDI-24-020
  https://github.com/MAWK0235/CVE-2024-24401/blob/main/MawkNagiosXIPOC.py

#--- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  4. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  5. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る
PageTop