Nagios XI ağ izleme yazılımında ayrıcalık artışına ve bilgilerin ifşa edilmesine yol açabilecek çok sayıda güvenlik açığı ortaya çıktı.
CVE-2023-40931’den CVE-2023-40934’e kadar takip edilen dört güvenlik açığı, Nagios XI’nin 5.11.1 ve önceki sürümlerini etkiliyor. 4 Ağustos 2023’teki sorumlu açıklamanın ardından, yamalı 11 Eylül 2023 itibarıyla 5.11.2 sürümünün yayınlanmasıyla birlikte.
Outpost24 araştırmacısı Astrid Tedenbrant, “Bu güvenlik açıklarından üçü (CVE-2023-40931, CVE-2023-40933 ve CVE-2023-40934), çeşitli ayrıcalık düzeylerine sahip kullanıcıların SQL Enjeksiyonları aracılığıyla veritabanı alanlarına erişmesine olanak tanıyor.” söz konusu.
“Bu güvenlik açıklarından elde edilen veriler, üründeki ayrıcalıkları daha da artırmak ve şifre karmaları ve API belirteçleri gibi hassas kullanıcı verilerini elde etmek için kullanılabilir.”
Öte yandan CVE-2023-40932, Özel Logo bileşenindeki, oturum açma sayfasındaki şifresiz metin şifreleri de dahil olmak üzere hassas verileri okumak için kullanılabilecek bir siteler arası komut dosyası çalıştırma (XSS) kusuruyla ilgilidir.
Kusurların listesi aşağıda açıklanmıştır –
- CVE-2023-40931 – Banner’da uç noktayı kabul eden SQL Enjeksiyonu
- CVE-2023-40932 – Özel Logo Bileşeninde Siteler Arası Komut Dosyası Çalıştırma
- CVE-2023-40933 – Duyuru Banner Ayarlarında SQL Enjeksiyonu
- CVE-2023-40934 – Çekirdek Yapılandırma Yöneticisinde (CCM) Ana Bilgisayar/Hizmet Yükseltmesinde SQL Enjeksiyonu
Üç SQL enjeksiyon güvenlik açığının başarılı bir şekilde kullanılması, kimliği doğrulanmış bir saldırganın rastgele SQL komutları yürütmesine olanak tanırken, XSS hatası, rastgele JavaScript enjekte etmek ve sayfa verilerini okumak ve değiştirmek için kullanılabilir.
Bu, Nagios XI’de ortaya çıkan güvenlik sorunlarının ilk seferi değil. 2021’de Skylight Cyber ve Claroty, altyapıyı ele geçirmek ve uzaktan kod yürütmek için kötüye kullanılabilecek iki düzine kadar kusur keşfetti.