Se han revelado múltiples fallas de seguridad en el software de monitoreo de red Nagios XI que podrían resultar en una escalada de privilegios y divulgación de información.
Las cuatro vulnerabilidades de seguridad, rastreadas desde CVE-2023-40931 hasta CVE-2023-40934, afectan las versiones 5.11.1 y anteriores de Nagios XI. Tras la divulgación responsable el 4 de agosto de 2023, han sido parcheado a partir del 11 de septiembre de 2023, con el lanzamiento de la versión 5.11.2.
“Tres de estas vulnerabilidades (CVE-2023-40931, CVE-2023-40933 y CVE-2023-40934) permiten a los usuarios, con varios niveles de privilegios, acceder a campos de bases de datos mediante inyecciones SQL”, afirma la investigadora de Outpost24, Astrid Tedenbrant. dicho.
“Los datos obtenidos de estas vulnerabilidades pueden usarse para aumentar aún más los privilegios en el producto y obtener datos confidenciales del usuario, como hashes de contraseñas y tokens API”.
CVE-2023-40932, por otro lado, se relaciona con una falla de secuencias de comandos entre sitios (XSS) en el componente del logotipo personalizado que podría usarse para leer datos confidenciales, incluidas contraseñas de texto sin cifrar desde la página de inicio de sesión.
La lista de fallas se describe a continuación:
- CVE-2023-40931 – Inyección SQL en Banner reconociendo el punto final
- CVE-2023-40932 – Secuencias de comandos entre sitios en el componente de logotipo personalizado
- CVE-2023-40933 – Inyección SQL en la configuración del banner de anuncios
- CVE-2023-40934 – Inyección SQL en Host/Escalado de Servicio en el Core Configuration Manager (CCM)
La explotación exitosa de las tres vulnerabilidades de inyección SQL podría permitir a un atacante autenticado ejecutar comandos SQL arbitrarios, mientras que el error XSS podría explotarse para inyectar JavaScript arbitrario y leer y modificar datos de páginas.
Esta no es la primera vez que se descubren problemas de seguridad en Nagios XI. En 2021, Skylight Cyber y Claroty descubrieron hasta dos docenas de fallas de las que se podía abusar para secuestrar la infraestructura y lograr la ejecución remota de código.