Des chercheurs ont découvert 11 failles de sécurité dans les systèmes de gestion de réseau Nagios qui peuvent permettre aux pirates de compromettre des infrastructures informatiques. Certaines de ces vulnérabilités sont liées à l'exécution de code à distance pré-authentifié avec les privilèges les plus élevés, et conduisent également à des vols de credential et à des attaques de phishing.

Les principaux problèmes sont deux failles d'exécution de code à distance (CVE-2021-37344, CVE-2021-37346) dans Nagios XI Switch Wizard et Nagios XI WatchGuard Wizard, une vulnérabilité d'injection SQL (CVE-2021-37350) dans Nagios XI, et une falsification de requête côté serveur (SSRF) affectant Nagios XI Docker Wizard, ainsi qu'une RCE post-authentifiée dans l'outil Auto-Discovery de Nagios XI.

Une liste complète des 11 vulnérabilités est présentée ci-dessous :

• CVE-2021-37343 (score CVSS : 8.8) : Une vulnérabilité de traversé de chemin existe dans Nagios XI avant la version 5.8.5 du composant AutoDiscovery et peut conduire à un RCE post-authentification dans le contexte de sécurité d'un utilisateur exécutant Nagios.
• CVE-2021-37344 (Score CVSS : 9.8) : Avant la version 2.5.7, l'assistant de commutation de Nagios XI est vulnérable à l'exécution de code à distance en raison d'une mauvaise neutralisation (injection de commande OS) des éléments spéciaux utilisés dans les commandes OS.
• CVE-2021-37345 (score CVSS : 7.8) : Nagios XI avant la version 5.8.5 est vulnérable à une élévation locale de privilèges car xi-sys.cfg est importé du répertoire var de certains scripts avec des privilèges élevés.
• CVE-2021-37346 (Score CVSS : 9.8) : Avant la version 1.4.8, l'assistant WatchGuard de Nagios XI est vulnérable à l'exécution de code à distance en raison d'une neutralisation incorrecte (injection de commande OS) des éléments spéciaux utilisés dans les commandes OS.
• CVE-2021-37347 (score CVSS : 7.8) : Avant la version 5.8.5, Nagios XI est vulnérable à une élévation locale de privilèges car il ne valide pas le nom du répertoire que getprofile.sh reçoit en argument.
• CVE-2021-37348 (score CVSS : 7.5) : Avant la version 5.8.5, Nagios XI est vulnérable à une inclusion de fichier locale à cause de restrictions incorrectes du chemin d'accès dans index.php.
• CVE-2021-37349 (score CVSS : 7.8) : Avant la version 5.8.5, Nagios XI est vulnérable à une élévation de privilèges locale car cleaner.php ne nettoie pas les entrées lues depuis la base de données.
• CVE-2021-37350 (score CVSS : 9.8) : Avant la version 5.8.5, Nagios XI est vulnérable à des injections SQL de l'outil de changement en masse à cause d'une mauvaise désinfection des entrées.
• CVE-2021-37351 (score CVSS : 5.3) : Avant la version 5.8.5, Nagios XI est vulnérable aux permissions non sécurisées et permet à des utilisateurs non authentifiés d'accéder à des pages protégées par le biais d'une requête HTTP élaborée vers le serveur
• CVE-2021-37352 (Score CVSS : 6.1) : Avant la version 5.8.5, Nagios XI contient une vulnérabilité de redirection ouverte qui peut conduire à une usurpation d'identité. Pour exploiter cette vulnérabilité, un attaquant peut envoyer un lien avec une URL spécialement conçue et inciter l'utilisateur à cliquer sur le lien.
• CVE-2021-37353 (score CVSS : 9.8) : L'assistant Docker de Nagios XI avant la version 1.1.3 est vulnérable à SSRF en raison d'une mauvaise désinfection de table_population.php.

En outre, un attaquant pourrait combiner ces failles pour supprimer le shell web ou exécuter un script PHP afin d'élever les permissions à l'utilisateur root et exécuter des commandes arbitraires dans le contexte de l'utilisateur root.

L'éditeur de logiciels a déjà résolu les problèmes dans les mises à jour précédentes publiées en août avec Nagios XI 5.8.5 ou supérieur, Nagios XI Switch Wizard 2.5.7 ou supérieur, Nagios XI Docker Wizard 1.13 ou supérieur, et Nagios XI WatchGuard 1.4.8 ou supérieur.

Il faut savoir que c'est la deuxième fois que Nagios révèle environ 12 vulnérabilités. Au début du mois de mai de cette année, Skylight Cyber a révélé 13 vulnérabilités de sécurité dans l’application de surveillance de réseau qui pourrait être exploitée par un attaquant pour détourner l'infrastructure sans intervention de l'opérateur.