Revelan detalles sobre vulnerabilidades críticas que afectan al software de monitoreo Nagios

Investigadores de ciberseguridad revelaron detalles sobre 13 vulnerabilidades en la aplicación de monitoreo de red Nagios. Las vulnerabilidades podrían ser explotadas por un adversario para secuestrar la infraestructura sin la intervención de ningún operador.

“Imaginémonos un entorno de telecomunicaciones, donde una empresa de está monitoreando miles de sitios. Si el sitio de un cliente está completamente comprometido, un atacante puede usar las vulnerabilidades para comprometer a la compañía de telecomunicaciones. Y, luego puede comprometer a todos los demás sitios de clientes monitoreados”.  

Adi Ashkenazy, director ejecutivo de ciberseguridad de la firma australiana Skylight Cyber

Nagios es una herramienta de infraestructura informática de código abierto similar a SolarWinds Network Performance Monitor (NPM). Nagios ofrece servicios de monitoreo y alerta para servidores, tarjetas de red, aplicaciones y servicios.

Vulnerabilidades

Las vulnerabilidades consisten en una combinación de ejecución de código remoto (RCE) y fallas de escalada de privilegios. Estas fueron descubiertas y reportadas a Nagios en octubre de 2020. Nagios las solucionó en noviembre.

La principal vulnerabilidad es CVE-2020-28648 (puntuación CVSS:8.8) y se refiere a una validación incorrecta en el componente de descubrimiento automático de Nagios XI. Los investigadores utilizaron esta vulnerabilidad como punto de partida para desencadenar una cadena de exploits que une un total de cinco vulnerabilidades. Las cinco vulnerabilidades les permitió lograr un “poderoso ataque ascendente”.

“Es decir, si nosotros, como atacantes, comprometemos el sitio de un cliente que está siendo monitoreado usando un servidor Nagios XI, podremos llegar lejos. Podremos comprometer el servidor de administración de la compañía de telecomunicaciones y todos los demás clientes que están siendo monitoreados”.

Dicho de otra manera; el escenario de ataque funciona apuntando a un servidor Nagios XI en el sitio del cliente, utilizando CVE-2020-28648 y CVE-2020-28910. Esto para obtener RCE y elevar los privilegios a “root”. Con el servidor ahora comprometido de manera efectiva, el adversario puede enviar datos contaminados al servidor Nagios Fusion ascendente. Este servidor se utiliza para proporcionar visibilidad centralizada en toda la infraestructura al explorar periódicamente los servidores Nagios XI.

“Al contaminar los datos devueltos desde el servidor XI bajo nuestro control, podemos activar Cross-Site Scripting [CVE-2020-28903]. Y, podemos ejecutar código JavaScript en el contexto de un usuario de Fusion”.

Samir Ghanem investigador de Skylight Cyber. ​​

Escalando

La siguiente fase del ataque aprovecha esta capacidad de ejecutar código JavaScript arbitrario en el servidor Fusion para obtener RCE (CVE-2020-28905).  Posteriormente se pueden elevar los permisos (CVE-2020-28902) para tomar el control del servidor Fusion. Y, en última instancia, ingresar en servidores XI ubicados en otros sitios de clientes.

Los investigadores también han publicado una herramienta de post-explotación basada en PHP llamada SoyGun. SoyGun encadena las vulnerabilidades y “permite que un atacante con credenciales de usuario de Nagios XI y acceso HTTP al servidor Nagios XI tome el control total de una implementación de Nagios Fusion”.

Detalles de las vulnerabilidades

A continuación, te mostramos un resumen de las 13 vulnerabilidades:

• CVE-2020-28648 – Ejecución remota de código autenticado por Nagios XI (desde el contexto de un usuario con pocos privilegios)
• CVE-2020-28900: escalamiento de privilegios de Nagios Fusion y XI de nagios a root a través de upgrade_to_latest.sh
• CVE-2020-28901 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante la inyección de comandos en el parámetro component_dir en cmd_subsys.php
• CVE-2020-28902 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante la inyección de comandos en el parámetro de zona horaria en cmd_subsys.php
• CVE-2020-28903 – XSS en Nagios XI cuando un atacante tiene control sobre un servidor Fusion.
• CVE-2020-28904 – Escalada de privilegios de Nagios Fusion de apache a nagios mediante la instalación de componentes maliciosos
• CVE-2020-28905 – Ejecución remota de código autenticado por Nagios Fusion (desde el contexto de usuario con privilegios bajos)
• CVE-2020-28906 – Escalada de privilegios de Nagios Fusion y XI de nagios a root mediante la modificación de fusion-sys.cfg/xi-sys.cfg
• CVE-2020-28907 – Escalada de privilegios de Nagios Fusion de apache a root a través de upgrade_to_latest.sh y modificación de la configuración del proxy
• CVE-2020-28908. Escalada de privilegios de Nagios Fusion de apache a nagios a través de la inyección de comandos (causada por una validación deficiente) en cmd_subsys.php
• CVE-2020-28909 – Escalada de privilegios de Nagios Fusion de nagios a root mediante la modificación de scripts que se pueden ejecutar como sudo
• CVE-2020-28910 – Escalada de privilegios getprofile.sh de Nagios XI
• CVE-2020-28911 – Divulgación de información de Nagios Fusion: el usuario con menos privilegios puede autenticarse en el servidor Fusion cuando se almacenan las credenciales

SolarWinds

Recordemos que SolarWinds fue víctima de un importante ataque a la cadena de suministro el año pasado. Ahora bien, apuntar a una plataforma de monitoreo de red como Nagios podría permitir a un actor malintencionado organizar intrusiones en las redes corporativas. Además, podría expandir lateralmente su acceso a través de la red informática y convertirse en un punto de entrada para amenazas más sofisticadas.

“La cantidad de esfuerzo que se requirió para encontrar estas vulnerabilidades y explotarlas es insignificante en el contexto de atacantes sofisticados, y específicamente estados-nación“.

Esto se hizo como un proyecto paralelo rápido, imaginemos lo simple que es esto para las personas que dedican todo su tiempo a desarrollar este tipo de exploits. Los ciberdelincuentes pueden combinar los exploits con otras bibliotecas, herramientas y proveedores para atacar. Ellos pueden aprovecharlos en una red moderna para causar grandes estragos.