Nagios XI ağ izleme yazılımında ayrıcalıkların artmasına ve bilgilerin ifşa edilmesine neden olabilecek birden fazla güvenlik açığı ortaya çıkmıştır.
CVE-2023-40931’den CVE-2023-40934’e kadar takip edilen dört güvenlik açığı, Nagios XI 5.11.1 ve daha düşük sürümlerini etkilemektedir. Sorumluların 4 Ağustos 2023 tarihinde ifşa edilmesinin ardından, 11 Eylül 2023 tarihi itibariyle 5.11.2 sürümünün yayınlanmasıyla birlikte yamalanmıştır.
Outpost24 araştırmacısı Astrid Tedenbrant, “Bu güvenlik açıklarından üçü (CVE-2023-40931, CVE-2023-40933 ve CVE-2023-40934), çeşitli ayrıcalık düzeylerine sahip kullanıcıların SQL Enjeksiyonları yoluyla veritabanı alanlarına erişmesine izin veriyor” dedi.
“Bu güvenlik açıklarından elde edilen veriler, üründeki ayrıcalıkları daha da yükseltmek ve parola karmaları ve API belirteçleri gibi hassas kullanıcı verilerini elde etmek için kullanılabilir.”
Öte yandan CVE-2023-40932, Özel Logo bileşenindeki, oturum açma sayfasından açık metin parolaları da dahil olmak üzere hassas verileri okumak için kullanılabilecek bir siteler arası komut dosyası oluşturma (XSS) açığı ile ilgilidir.
Zafiyetlerin listesi aşağıda açıklanmıştır;
- CVE-2023-40931 – SQL Injection in Banner acknowledging endpoint
- CVE-2023-40932 – Özel Logo Bileşeninde Siteler Arası Komut Dosyası Oluşturma
- CVE-2023-40933 – Duyuru Banner Ayarlarında SQL Enjeksiyonu
- CVE-2023-40934 – Çekirdek Yapılandırma Yöneticisinde (CCM) Ana Bilgisayar/Servis Yükseltmesinde SQL Enjeksiyonu
Üç SQL enjeksiyonu açığının başarılı bir şekilde kullanılması, kimliği doğrulanmış bir saldırganın rastgele SQL komutları yürütmesine izin verebilirken, XSS hatası rastgele JavaScript enjekte etmek ve sayfa verilerini okumak ve değiştirmek için kullanılabilir.
Bu, Nagios XI‘de ilk kez ortaya çıkarılan güvenlik sorunları değildir. 2021 yılında Skylight Cyber ve Claroty, altyapıyı ele geçirmek ve uzaktan kod yürütme elde etmek için kötüye kullanılabilecek iki düzine kadar zafiyet keşfetti.
