Версия 4.2.4 системы IT-мониторинга Nagios Core содержит патчи для двух критических уязвимостей, комбинация которых позволяет атаковать сервер, размещающий это ПО с открытым исходным кодом.

О наличии брешей разработчику сообщил исследователь Давид Голунский (Dawid Golunski); одна из них позволяет повысить привилегии до root, вторая — удаленно выполнить код. Согласно бюллетеню Голунского, баг внедрения команд в компоненте MagpieRSS внешнего интерфейс-клиента был обнаружен еще в 2008 году; соответствующий патч вышел в составе Nagios 4.2.0, но оказался неполным. Из-за возможности его обхода уязвимость была пересмотрена и получила новый идентификационный номер — CVE-2016-9565.

Уязвимость проявляется при загрузке новостей из удаленного источника RSS по HTTP или HTTPS (с использованием самоподписанного сертификата). «Данная уязвимость потенциально позволяет удаленному неаутентифицированному злоумышленнику сымитировать ответ сервера рассылки (посредством отравления DNS-сервера, угона домена, подмены ARP-результата и т.п.) с целью внедрения вредоносных параметров в команду curl, используемую уязвимым классом RSS-клиента, и чтения/записи произвольных файлов на сервере Nagios, — пишет Голунский. — На дефолтных Nagios, настроенных в соответствии с официальными рекомендациями, это может повлечь удаленное исполнение кода в контексте пользователя www-data/nagios».

В бюллетене эксперт привел не только техническое описание CVE-2016-9565, но также PoC-эксплойт, способный обойти существующее санирование при обработке HTTPS-запросов. «В перспективе эта уязвимость может превратиться в интернет-угрозу: если скомпрометировать DNS-сервер или резолвер крупного провайдера, ее можно массово использовать против Nagios», — предупреждает Голунский.

Вторая уязвимость, CVE-2016-9566, позволяет получить root-доступ, если ее использовать в связке с CVE-2016-9565. Согласно бюллетеню, она вызвана небезопасной работой демона Nagios Core, выполняющего операции с системным журналом. В итоге атакующий может повысить привилегии пользователя системы или члена группы до уровня root. «Эксплойт позволяет полностью скомпрометировать систему, в которой установлена уязвимая версия Nagios», — подводит итог Голунский.

Проблема в том, что демон Nagios открывает файл журнала до того, как сбросит свои root-привилегии при запуске. «Если атакующему удастся получить доступ к аккаунту nagios или любому другому в группе nagios, он сможет подменить файл журнала с помощью символической ссылки на произвольный файл в системе, — пишет Голунский. — Эту уязвимость можно использовать для повышения привилегий с пользователя/группы nagios до root, создав, к примеру, вредоносный файл /etc/ld.so.preload». Получение доступа к группе nagios позволяет лишь просматривать журнал, но для внесения данных придется использовать другую возможность: «Атакующий с доступом к группе nagios сможет обойти отсутствие прав на запись, воспользовавшись цепочкой внешних команд (nagios.cmd), доступной членам группы nagios по умолчанию».

Категории: Уязвимости