Se han revelado múltiples fallas de seguridad en el software de monitoreo de red Nagios XI que podrían resultar en una escalada de privilegios y divulgación de información.
Las cuatro vulnerabilidades de seguridad, rastreadas desde CVE-2023-40931 hasta CVE-2023-40934, afectan a las versiones 5.11.1 y anteriores de Nagios XI. Tras la divulgación responsable el 4 de agosto de 2023, se han parcheado a partir del 11 de septiembre de 2023, con el lanzamiento de la versión 5.11.2.
“Tres de estas vulnerabilidades (CVE-2023-40931, CVE-2023-40933 y CVE-2023-40934) permiten a los usuarios, con varios niveles de privilegios, acceder a los campos de la base de datos a través de inyecciones SQL”, dijo Astrid Tedenbrant, investigadora de Outpost24.
“Los datos obtenidos de estas vulnerabilidades pueden usarse para escalar aún más los privilegios en el producto y obtener datos confidenciales del usuario, como hashes de contraseñas y tokens de API”.
CVE-2023-40932, por otro lado, se relaciona con una falla de secuencias de comandos entre sitios (XSS) en el componente Logotipo personalizado que podría usarse para leer datos confidenciales, incluidas las contraseñas de texto sin cifrar de la página de inicio de sesión.
La lista de defectos se describe a continuación:
- CVE-2023-40931: Inyección SQL en el extremo de reconocimiento de banner
- CVE-2023-40932: Secuencias de comandos entre sitios en el componente de logotipo personalizado
- CVE-2023-40933: Inyección SQL en la configuración del banner de anuncio
- CVE-2023-40934: Inyección SQL en la escalada de host/servicio en Core Configuration Manager (CCM)
La explotación exitosa de las tres vulnerabilidades de inyección SQL podría permitir a un atacante autenticado ejecutar comandos SQL arbitrarios, mientras que el error XSS podría explotarse para inyectar JavaScript arbitrario y leer y modificar datos de página.
Esta no es la primera vez que se descubren problemas de seguridad en Nagios XI. En 2021, Skylight Cyber y Claroty descubrieron hasta dos docenas de fallas que podrían abusarse para secuestrar la infraestructura y lograr la ejecución remota del código.
