/ Security / Nagios Core ist angreifbar: Sicherheitslücken in Server-Überwachungssoftware

Nagios Core ist angreifbar: Sicherheitslücken in Server-Überwachungssoftware

Moritz Rosenfeld on December 20, 2016 - 7:23 pm in Security

Nagios Core, eine Software zur Server-Überwachung, weist derzeit zwei kritische Sicherheitslücken auf. Angreifer können durch sie die absolute Systemkontrolle erhalten. Die aktuelle Version 4.2.4 schließt die Lücken.

Die Server-Überwachungssoftware Nagios Core ist angreifbar: Durch zwei Sicherheitslücken können Hacker das gesamte System kontrollieren und Befehle als root ausführen, warnt Sicherheitsexperte Dawid Golunski, der die Schwachstellen entdeckt hat.

Die erste Lücke namens CVE-2016-9565 klafft im Web-Frontend von Nagios. Es zeigt beim Login einen RSS-Feed vom Hersteller Nagios an und legt beim Parsen offenbar nicht genügend Sorgfalt an den Tag. Laut Golunski kann ein Angreifer über den RSS-Feed beliebige Befehle einschleusen, die der Server, auf dem das Frontend läuft, im Kontext des Nutzers www-data/nagios ausführt. Dazu muss der Angreifer allerdings entweder in der Position des Man-in-the-Middle sein, um die Daten auf dem Transportweg zu manipulieren oder aber Kontrolle darüber haben, was beim Abruf des Nagios-Feeds ausgeliefert wird. Letzteres kann der Angreifer zum Beispiel erreichen, indem er einen DNS-Angriff fährt.

Code-Ausführung mit Root-Rechten

In Kombination mit der zweiten durch Golunski entdeckten Lücke namens CVE-2016-9566 kann der Angreifer noch größeren Schaden anrichten und Befehle sogar als root ausführen. Der Fehler tritt im Core Daemon bei der Verarbeitung von Log-Dateien auf. Der Sicherheitsexperte erklärt im dazugehörigen Advisory ausführlich, wie Angreifer durch die oben beschriebene Lücke zunächst in den Server eindringen und sich durch die zweite Lücke anschließend Root-Rechte verschaffen können. Als Grundlage dient eine Nagios-Standardinstallation. Ferner hat Golunski ein Proof-of-Concept veröffentlicht.

Updates schließen Lücken

Die Schwachstelle im Web-Frontend (CVE-2016-9565) hat Nagios laut Timeline bereits Ende Oktober mit Version 4.2.2 geschlossen, die andere Lücke (CVE-2016-9566) erst Anfang Dezember mit Version 4.2.4. Wer Nagios im Einsatz hat, sollte umgehend auf die aktuelle Version umsteigen. (lel)

Read more on: Source

Comments are disabled