Passa ai contenuti principali

Nuovi bug nel software Nagios potrebbero consentire agli hacker di assumere il controllo delle infrastrutture IT

Nei sistemi di gestione della rete Nagios sono state rilevate ben 11 vulnerabilità di sicurezza, alcune delle quali potrebbero essere concatenate per ottenere l'esecuzione di codice remoto pre-autenticato con i privilegi più elevati, nonché portare a furto di credenziali e attacchi di phishing.

La società di sicurezza informatica industriale Claroty, che ha scoperto i difetti, ha affermato che i difetti in strumenti come Nagios li rendono un obiettivo attraente a causa della loro "supervisione dei server, dei dispositivi e di altri componenti critici nella rete aziendale". Da allora i problemi sono stati risolti negli aggiornamenti rilasciati ad agosto con Nagios XI 5.8.5 o versioni successive, Nagios XI Switch Wizard 2.5.7 o versioni successive, Nagios XI Docker Wizard 1.13 o versioni successive e Nagios XI WatchGuard 1.4.8 o versioni successive.

"SolarWinds e Kaseya sono stati probabilmente presi di mira non solo a causa delle loro basi clienti ampie e influenti, ma anche per l'accesso delle rispettive tecnologie alle reti aziendali, che si tratti di gestione IT, tecnologia operativa (OT) o Internet delle cose (IoT) dispositivi" di Noam Claroty Moshe ha dichiarato in un write-up pubblicato Martedì, notando come le intrusioni rivolte alle catene di fornitura IT e di gestione della rete è emerso come un condotto per migliaia di compromesso di vittime a valle.

Nagios Core è un popolare strumento di integrità della rete open source analogo a SolarWinds Network Performance Monitor (NPM) che viene utilizzato per tenere sotto controllo l'infrastruttura IT per problemi di prestazioni e inviare avvisi in seguito al guasto di componenti mission-critical. Nagios XI, una piattaforma proprietaria basata sul web costruita su Nagios Core, fornisce alle organizzazioni una visione estesa delle loro operazioni IT con monitoraggio scalabile e una panoramica personalizzabile di alto livello di host, servizi e dispositivi di rete.

I principali problemi sono due difetti di esecuzione del codice remoto (CVE-2021-37344, CVE-2021-37346) in Nagios XI Switch Wizard e Nagios XI WatchGuard Wizard, una vulnerabilità SQL injection (CVE-2021-37350) in Nagios XI e una falsificazione della richiesta lato server (SSRF) che interessa la procedura guidata Docker di Nagios XI, nonché un RCE post-autenticato nello strumento di rilevamento automatico di Nagios XI. L' elenco completo degli 11 difetti è il seguente:
  • CVE-2021-37343 (punteggio CVSS: 8.8) - Esiste una vulnerabilità di attraversamento del percorso in Nagios XI al di sotto della versione 5.8.5 del componente AutoDiscovery e potrebbe portare a RCE post-autenticato nel contesto di sicurezza dell'utente che esegue Nagios.
  • CVE-2021-37344 (punteggio CVSS: 9.8) - Nagios XI Switch Wizard prima della versione 2.5.7 è vulnerabile all'esecuzione di codice remoto attraverso la neutralizzazione impropria di elementi speciali utilizzati in un comando del sistema operativo (iniezione di comandi del sistema operativo).
  • CVE-2021-37345 (punteggio CVSS: 7.8) - Nagios XI prima della versione 5.8.5 è vulnerabile all'escalation dei privilegi locali perché xi-sys.cfg viene importato dalla directory var per alcuni script con autorizzazioni elevate.
  • CVE-2021-37346 (punteggio CVSS: 9.8) - Nagios XI WatchGuard Wizard prima della versione 1.4.8 è vulnerabile all'esecuzione di codice remoto tramite la neutralizzazione impropria di elementi speciali utilizzati in un comando del sistema operativo (iniezione di comandi del sistema operativo).
  • CVE-2021-37347 (punteggio CVSS: 7.8) - Nagios XI prima della versione 5.8.5 è vulnerabile all'escalation dei privilegi locali perché getprofile.sh non convalida il nome della directory che riceve come argomento.
  • CVE-2021-37348 (punteggio CVSS: 7.5) - Nagios XI prima della versione 5.8.5 è vulnerabile all'inclusione di file locali attraverso una limitazione impropria di un percorso in index.php.
  • CVE-2021-37349 (punteggio CVSS: 7.8) - Nagios XI prima della versione 5.8.5 è vulnerabile all'escalation dei privilegi locali perché clean.php non disinfetta l'input letto dal database.
  • CVE-2021-37350 (punteggio CVSS: 9.8) - Nagios XI prima della versione 5.8.5 è vulnerabile alla vulnerabilità di SQL injection in Bulk Modifications Tool a causa di un'errata sanificazione dell'input.
  • CVE-2021-37351 (punteggio CVSS: 5.3) - Nagios XI prima della versione 5.8.5 è vulnerabile a permessi non sicuri e consente agli utenti non autenticati di accedere a pagine protette tramite una richiesta HTTP predisposta al server.
  • CVE-2021-37352 (punteggio CVSS: 6.1) - Esiste una vulnerabilità di reindirizzamento aperto in Nagios XI prima della versione 5.8.5 che potrebbe portare allo spoofing. Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe inviare un collegamento con un URL appositamente predisposto e convincere l'utente a fare clic sul collegamento.
  • CVE-2021-37353 (punteggio CVSS: 9.8) - Nagios XI Docker Wizard prima della versione 1.1.3 è vulnerabile a SSRF a causa di un'errata sanificazione in table_population.php
In poche parole, i difetti potrebbero essere combinati dagli aggressori per eliminare una shell web o eseguire script PHP ed elevare i propri privilegi a root, ottenendo così l'esecuzione di comandi arbitrari nel contesto dell'utente root. Come prova di concetto, Claroty ha concatenato CVE-2021-37343 e CVE-2021-37347 per ottenere una primitiva write-what-where, consentendo a un utente malintenzionato di scrivere contenuto su qualsiasi file nel sistema.

"[I sistemi di gestione della rete] richiedono un'ampia fiducia e accesso ai componenti di rete per monitorare adeguatamente i comportamenti e le prestazioni della rete in caso di guasti e scarsa efficienza", ha affermato Moshe.

"Possono anche estendersi all'esterno della rete attraverso il firewall per occuparsi di server e connessioni remoti. Pertanto, questi sistemi centralizzati possono essere un bersaglio gustoso per gli aggressori che possono sfruttare questo tipo di hub di rete e tentare di comprometterlo per accedere, manipolare e distruggere altri sistemi."

La divulgazione è la seconda volta che quasi una dozzina di vulnerabilità sono state rivelate a Nagios. All'inizio di maggio, Skylight Cyber ​​ha rivelato 13 punti deboli di sicurezza nell'applicazione di monitoraggio della rete che potrebbero essere abusati da un avversario per dirottare l'infrastruttura senza alcun intervento dell'operatore.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »