Plusieurs failles de sécurité ont été révélées dans le logiciel de surveillance du réseau Nagios XI, ce qui pourrait entraîner une élévation de privilèges et une divulgation d’informations.
Les quatre vulnérabilités de sécurité, suivies de CVE-2023-40931 à CVE-2023-40934, impactent les versions 5.11.1 et inférieures de Nagios XI. Suite à une divulgation responsable le 4 août 2023, ils ont été patché à compter du 11 septembre 2023, avec la sortie de la version 5.11.2.
« Trois de ces vulnérabilités (CVE-2023-40931, CVE-2023-40933 et CVE-2023-40934) permettent aux utilisateurs, avec différents niveaux de privilèges, d’accéder aux champs de la base de données via des injections SQL », a déclaré Astrid Tedenbrant, chercheuse chez Outpost24. dit.
« Les données obtenues à partir de ces vulnérabilités peuvent être utilisées pour élever davantage les privilèges du produit et obtenir des données utilisateur sensibles telles que des hachages de mots de passe et des jetons API. »
CVE-2023-40932, quant à lui, concerne une faille XSS (cross-site scripting) dans le composant Custom Logo qui pourrait être utilisée pour lire des données sensibles, y compris des mots de passe en clair à partir de la page de connexion.
La liste des défauts est décrite ci-dessous –
- CVE-2023-40931 – Injection SQL dans Banner reconnaissant le point de terminaison
- CVE-2023-40932 – Cross-Site Scripting dans le composant de logo personnalisé
- CVE-2023-40933 – Injection SQL dans les paramètres de la bannière d’annonce
- CVE-2023-40934 – Injection SQL dans l’escalade hôte/service dans le Core Configuration Manager (CCM)
Une exploitation réussie des trois vulnérabilités d’injection SQL pourrait permettre à un attaquant authentifié d’exécuter des commandes SQL arbitraires, tandis que le bogue XSS pourrait être exploité pour injecter du JavaScript arbitraire et lire et modifier les données de page.
Ce n’est pas la première fois que des problèmes de sécurité sont découverts dans Nagios XI. En 2021, Skylight Cyber et Claroty ont découvert jusqu’à deux douzaines de failles qui pourraient être exploitées pour détourner l’infrastructure et réaliser l’exécution de code à distance.