ソフトウェア・インテグリティ

 

[CyRC脆弱性勧告]NagiosXIで任意のファイル削除とXSSにつながるSQLインジェクション、パストラバーサル脆弱性を発見

CVE-2021-33177、CVE-2021-33178、CVE-2021-33179は SQLインジェクション、パストラバーサルおよびXSS(クロス・サイト・スクリプティング)といった脆弱性がよく使われているアプリケーションで、サービスやネットワーク監視を行うためのNagios XIに発見されました。

CyRC vulnerability advisory: Nagios XI | Synopsys

概要

Synopsys Cybersecurity Research Center (CyRC) の調査により、NagiosXIの3つの個別の脆弱性が明らかになりました。Nagios XIは、広く使用されているアプリケーション、サービス、およびネットワーク監視アプリケーションであり、ネットワークとサーバーの構成とレポートに特権的にアクセスできます。

発見された脆弱性

  • CVE-2021-33177: 一括変更ツールでの認証後のSQLインジェクション脆弱性
  • CVE-2021-33178: NagVisレポートモジュールの認証後のパストラバーサル脆弱性
  • CVE-2021-33179: コア構成マネージャーに反映されたクロスサイトスクリプティング(XSS)脆弱性

影響のあるソフトウェア

CVE-2021-33177
Nagios XI 5.8.5より前のバージョン

CVE-2021-33178
NagVisプラグインを介した5.8.6より前のNagiosXIバージョン。脆弱性はNagiosXIコード自体にはありませんが、このプラグインはデフォルトでインストールされます。この脆弱性は、2.0.9より前のバージョンのNagVisプラグインに存在し、このコンポーネントは、バージョン2.0.9以降に個別にアップグレードするか、必要がない場合はアンインストールできます。

CVE-2021-33179
Nagios XI 5.8.4より前のバージョン

影響

CVE-2021-33177
adminなどの一括変更ツールにアクセスできる認証済みユーザーは任意のSQLをUPDATEステートメントに挿入できます。 このため、デフォルトの構成では任意のPostgreSQL関数を実行できます。

CVSS 3.1 base score: 5.2 (medium)
CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C

CVE-2021-33178
adminなどのNagVisManageBackgroundsエンドポイントにアクセスできる認証済みユーザーは、Apacheサーバーの有効なユーザーの権限によって制限されているサーバー上の任意のファイルを削除できます。

CVSS 3.1 base score: 4.5 (medium)
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

CVE-2021-33179
ユーザーがクリックすると、悪意のあるURLが被害者のブラウザで任意のJavaScriptコードを実行し、すべてのNagiosXIローカルセッションデータを利用できるようになる可能性があります。

CVSS 3.1 base score: 4.3 (medium)
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C

緩和策

CVE-2021-33177
Nagios XI 5.8.5 以降にアップグレードする。
こちらを参照ください:https://www.nagios.com/downloads/nagios-xi/change-log

CVE-2021-33178
NagVisがNagiosプラグインとしてインストールされている場合:NagVisプラグインをバージョン2.0.9以降にアップグレードします。このバージョンのNagVisプラグインは、NagiosXIバージョン5.8.6以降にバンドルされています。
こちらを参照ください:https://www.nagios.com/downloads/nagios-xi/change-log

NagVisがNagVisプロジェクトから直接取得された場合:NagVisをバージョン1.9.29以降にアップグレードします。

こちらを参照ください:http://nagvis.org/downloads/changelog/1.9.29

CVE-2021-33179
Nagios XI 5.8.4以降にアップグレードする。

こちらを参照ください:https://www.nagios.com/downloads/nagios-xi/change-log

発見者

Synopsys Cybersecurity ResearchCenterの研究者であるScottTolleyは、Seeker®インタラクティブアプリケーションセキュリティテスト(IAST)ツールを使用してこれらの脆弱性を発見しました。
Synopsysは、Nagiosチームが脆弱性に対して、速やかかつタイムリーに対処したことを称賛したいと思います。

 

タイムライン

CVE-2021-33177

  • 2021年5月12日:最初の開示
  • 2021年6月4日:Nagiosのセキュリティチームが検証し、脆弱性を確認
  • 2021年6月15日:Nagios XI version 5.8.5 リリースにて、CVE-2021-33177を修正
  • 2021年10月13日:シノプシスによる脆弱性勧告の公開

CVE-2021-33178

  • 2021年5月12日:最初の開示
  • 2021年6月4日:Nagiosのセキュリティチームが検証し、脆弱性を確認
  • 2021年9月2日:NagVis plugin version 2.0.9 リリースにて、CVE-2021-33178を修正
  • 2021年10月13日:シノプシスによる脆弱性勧告の公開

CVE-2021-33179

  • 2021年5月12日:最初の開示
  • 2021年6月4日:Nagiosのセキュリティチームが検証し、脆弱性を確認
  • 2021年6月10日:Nagios XI version 5.8.4 リリースにて、CVE-2021-33179を修正
  • 2021年10月13日:シノプシスによる脆弱性勧告の公開

最初の記事は2021年10月13日に投稿され、2021年12月15日に更新されました。

 

この著者によるその他の情報