Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.13(土)

Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)

2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。

脆弱性と脅威
(イメージ画像)
◆概要
 2024 年 2 月に公開された、Nagios XI の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、Nagios XI の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートや、認証情報の強化により対策しましょう。

◆分析者コメント
 脆弱性は Nagios XI の管理用 Web コンソールへのログインに成功すれば、ログインしたアカウントの権限に依存せずに悪用可能なものです。ソフトウェアの性質上、内部ネットワークでの使用が想定されているため、管理用 Web コンソールの低権限アカウントに弱い認証情報を設定する組織が多いと考えられます。ソフトウェアのアップデートが難しい場合は、Nagios XI の管理用 Web コンソールに登録されているアカウントのパスワードは、すべて強固なものに設定して対策しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
本記事の執筆時点で CVSS 値の情報は公開されていません。

◆影響を受けるソフトウェア
 Nagios XI のバージョン 2024R1.0.1 およびそれよりも古いバージョンが、当該脆弱性の影響を受けると報告されています。

◆解説
 ネットワークを管理するためのソフトウェアである Nagios XI に、遠隔コード実行や管理用 Web コンソール上での権限昇格が可能となる脆弱性が報告されています。

 脆弱性は Nagios XI の管理用 Web コンソールへの認証に成功したアカウントのみからアクセス可能な monitoringwizard.php に存在する SQL Injection の脆弱性です。Nagios XI では管理用 Web コンソールの管理者権限機能として OS コマンドの実行が可能です。よってNagios XI の管理用 Web コンソールへの認証に成功した攻撃者は、脆弱性を悪用して管理者権限 API キーを入手して管理者アカウントを作成し、OS コマンドの実行機能を悪用すれば、脆弱な Nagios XI が稼働しているサーバへの侵入が可能です。

◆対策
 Nagios XI のバージョンを 2024R1.0.1 よりも新しいバージョンにアップデートしてください。脆弱性には管理用 Web コンソールへの認証が必要であるため、Nagios XI の管理用 Web コンソールに認証可能なアカウントの認証情報の強化によっても、脆弱性を悪用されてしまう可能性を軽減可能です。

◆関連情報
[1] Nagios 公式
  https://www.nagios.com/changelog/
[2] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2024-24401
[3] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24401

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して Nagios XI への侵入を試みるエクスプロイトコードが公開されています。

  GitHub - Nassim-Asrir/ZDI-24-020
  https://github.com/MAWK0235/CVE-2024-24401/blob/main/MawkNagiosXIPOC.py

#--- で始まる行は執筆者によるコメントです。
《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

    スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  2. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

    裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  3. PHPの脆弱性(CVE-2024-4577)を狙う攻撃に注意を呼びかけ

    PHPの脆弱性(CVE-2024-4577)を狙う攻撃に注意を呼びかけ

  4. 複数の Webmin 製品に複数の脆弱性

  5. ゲーム配信サイトGOG.com、「サイバーパンク2077」海賊版や不正購入のゲームキーに注意喚起

  6. イエラエセキュリティ CSIRT支援室 第 12 回「ハードウェアとソフトウェア、セキュリティの交わるところ」

  7. 「非常に激しい雨」「猛烈な雨」とは、雨の強さと降り方の基準について解説

  8. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  9. TikTok を悪用する新たな詐欺行為、盗んだ動画でライブ配信しギフトを収益化

  10. iOS アプリ「モバオク-オークション&フリマアプリ」にサーバ証明書の検証不備の脆弱性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×