概要
Synopsys Cybersecurity Research Center (CyRC) の調査により、NagiosXIの3つの個別の脆弱性が明らかになりました。Nagios XIは、広く使用されているアプリケーション、サービス、およびネットワーク監視アプリケーションであり、ネットワークとサーバーの構成とレポートに特権的にアクセスできます。
発見された脆弱性
- CVE-2021-33177: 一括変更ツールでの認証後のSQLインジェクション脆弱性
- CVE-2021-33178: NagVisレポートモジュールの認証後のパストラバーサル脆弱性
- CVE-2021-33179: コア構成マネージャーに反映されたクロスサイトスクリプティング(XSS)脆弱性
影響のあるソフトウェア
CVE-2021-33177
Nagios XI 5.8.5より前のバージョン
CVE-2021-33178
NagVisプラグインを介した5.8.6より前のNagiosXIバージョン。脆弱性はNagiosXIコード自体にはありませんが、このプラグインはデフォルトでインストールされます。この脆弱性は、2.0.9より前のバージョンのNagVisプラグインに存在し、このコンポーネントは、バージョン2.0.9以降に個別にアップグレードするか、必要がない場合はアンインストールできます。
CVE-2021-33179
Nagios XI 5.8.4より前のバージョン
影響
CVE-2021-33177
adminなどの一括変更ツールにアクセスできる認証済みユーザーは任意のSQLをUPDATEステートメントに挿入できます。 このため、デフォルトの構成では任意のPostgreSQL関数を実行できます。
CVSS 3.1 base score: 5.2 (medium)
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C
CVE-2021-33178
adminなどのNagVisManageBackgroundsエンドポイントにアクセスできる認証済みユーザーは、Apacheサーバーの有効なユーザーの権限によって制限されているサーバー上の任意のファイルを削除できます。
CVSS 3.1 base score: 4.5 (medium)
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
CVE-2021-33179
ユーザーがクリックすると、悪意のあるURLが被害者のブラウザで任意のJavaScriptコードを実行し、すべてのNagiosXI ローカル・セッションデータを利用できるようになる可能性があります。
CVSS 3.1 base score: 4.3 (medium)
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C
緩和策
CVE-2021-33177
Nagios XI 5.8.5 以降にアップグレードする。
こちらを参照ください:https://www.nagios.com/downloads/nagios-xi/change-log
CVE-2021-33178
NagVisがNagiosプラグインとしてインストールされている場合:NagVisプラグインをバージョン2.0.9以降にアップグレードします。このバージョンのNagVisプラグインは、NagiosXIバージョン5.8.6以降にバンドルされています。
こちらを参照ください:https://www.nagios.com/downloads/nagios-xi/change-log
NagVisがNagVisプロジェクトから直接取得された場合:NagVisをバージョン1.9.29以降にアップグレードします。
こちらを参照ください:http://nagvis.org/downloads/changelog/1.9.29
CVE-2021-33179
Nagios XI 5.8.4以降にアップグレードする。
こちらを参照ください:https://www.nagios.com/downloads/nagios-xi/change-log
発見者
Synopsys Cybersecurity ResearchCenter の研究者であるScott Tolleyは、Seeker®インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)ツールを使用してこれらの脆弱性を発見しました。
Synopsysは、Nagiosチームが脆弱性に対して、速やかかつタイムリーに対処したことを称賛したいと思います。
タイムライン
CVE-2021-33177
- 2021年5月12日:最初の開示
- 2021年6月4日:Nagiosのセキュリティチームが検証し、脆弱性を確認
- 2021年6月15日:Nagios XI version 5.8.5 リリースにて、CVE-2021-33177を修正
- 2021年10月13日:シノプシスによる脆弱性勧告の公開
CVE-2021-33178
- 2021年5月12日:最初の開示
- 2021年6月4日:Nagiosのセキュリティチームが検証し、脆弱性を確認
- 2021年9月2日:NagVis plugin version 2.0.9 リリースにて、CVE-2021-33178を修正
- 2021年10月13日:シノプシスによる脆弱性勧告の公開
CVE-2021-33179
- 2021年5月12日:最初の開示
- 2021年6月4日:Nagiosのセキュリティチームが検証し、脆弱性を確認
- 2021年6月10日:Nagios XI version 5.8.4 リリースにて、CVE-2021-33179を修正
- 2021年10月13日:シノプシスによる脆弱性勧告の公開
最初の記事は2021年10月13日に投稿され、2021年12月15日に更新されました。
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
May 08, 2024 / 1 min read
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 16, 2024 / 1 min read
[CyRC脆弱性勧告]OpenTSDBの脆弱性CVE-2023-25826およびCVE-2023-25827
Jul 30, 2023 / 1 min read
