Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.06.18(火)

Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)

2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。

脆弱性と脅威
(イメージ画像)
◆概要
 2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、Nagios XI の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートや、認証情報の強化により対策しましょう。

◆分析者コメント
 脆弱性は Nagios XI の管理用 Web コンソールへのログインに成功すれば、ログインしたアカウントの権限に依存せずに悪用可能なものです。ソフトウェアの性質上、内部ネットワークでの使用が想定されているため、管理用 Web コンソールの低権限アカウントに弱い認証情報を設定する組織が多いと考えられます。ソフトウェアのアップデートが難しい場合は、Nagios XI の管理用 Web コンソールに登録されているアカウントのパスワードは、すべて強固なものに設定して対策しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
本記事の執筆時点で CVSS 値の情報は公開されていません。

◆影響を受けるソフトウェア
 Nagios XI のバージョン 2024R1.0.1 およびそれよりも古いバージョンが、当該脆弱性の影響を受けると報告されています。

◆解説
 ネットワークを管理するためのソフトウェアである Nagios XI に、遠隔コード実行や管理用 Web コンソール上での権限昇格が可能となる脆弱性が報告されています。

 脆弱性は Nagios XI の管理用 Web コンソールへの認証に成功したアカウントのみからアクセス可能な monitoringwizard.php に存在する SQL Injection の脆弱性です。Nagios XI では管理用 Web コンソールの管理者権限機能として OS コマンドの実行が可能です。よってNagios XI の管理用 Web コンソールへの認証に成功した攻撃者は、脆弱性を悪用して管理者権限 API キーを入手して管理者アカウントを作成し、OS コマンドの実行機能を悪用すれば、脆弱な Nagios XI が稼働しているサーバへの侵入が可能です。

◆対策
 Nagios XI のバージョンを 2024R1.0.1 よりも新しいバージョンにアップデートしてください。脆弱性には管理用 Web コンソールへの認証が必要であるため、Nagios XI の管理用 Web コンソールに認証可能なアカウントの認証情報の強化によっても、脆弱性を悪用されてしまう可能性を軽減可能です。

◆関連情報
[1] Nagios 公式
  https://www.nagios.com/changelog/
[2] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2024-24401
[3] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24401

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して Nagios XI への侵入を試みるエクスプロイトコードが公開されています。

  GitHub - Nassim-Asrir/ZDI-24-020
  https://github.com/MAWK0235/CVE-2024-24401/blob/main/MawkNagiosXIPOC.py

#--- で始まる行は執筆者によるコメントです。
《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. GLAYの偽ライブ生配信 生中継騙るフィッシングサイトに注意呼びかけ

    GLAYの偽ライブ生配信 生中継騙るフィッシングサイトに注意呼びかけ

  2. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  3. マイクロソフトが 6 月のセキュリティ情報公開、適用を呼びかけ

    マイクロソフトが 6 月のセキュリティ情報公開、適用を呼びかけ

  4. IPCOM の WAF 機能にサービス運用妨害(DoS)の脆弱性

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. ロリポップ!問い合せフォームの自動返信機能を悪用したスパム配信に注意喚起

  7. 北の IT 技術者に懸賞金かかる/産経報道に世界注目/イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

  8. WordPress 用プラグイン WordPress Quiz Maker Plugin に不適切な入力確認の脆弱性

  9. AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

  10. WordPress 用プラグイン WP Booking に XSS の脆弱性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×