CVE-2020-8655

EyesOfNetwork EyesOfNetwork

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

EyesOfNetwork contains an improper privilege management vulnerability that may allow a user to run commands as root via a crafted Nmap Scripting Engine (NSE) script to nmap7.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в EyesOfNetwork (CVE-2020-8655) позволяет локальному пользователю с низкими привилегиями выполнить произвольные команды с правами суперпользователя (root). Это происходит из-за неправильного управления привилегиями в модуле, связанном с Nmap Scripting Engine (NSE). Атакующий может создать специальный NSE-скрипт, который будет выполнен с повышенными правами при запуске сканирования через nmap7.

Как исправить

Официальное исправление включено в обновления EyesOfNetwork. Необходимо обновить систему до версии, где уязвимость устранена.

  1. Обновите EyesOfNetwork до версии 5.3-10 или новее.
  2. Для систем на базе Debian/Ubuntu (используя официальные репозитории EyesOfNetwork): bash sudo apt update sudo apt install eyesofnetwork
  3. Для систем на базе RHEL/CentOS (используя официальные репозитории EyesOfNetwork): bash sudo yum update eyesofnetwork
  4. После обновления перезапустите службы EyesOfNetwork: bash sudo systemctl restart eyesofnetwork.service

Временное решение

Если немедленное обновление невозможно, примените следующие ограничивающие меры:

  1. Ограничение прав доступа к Nmap:

    • Удалите SUID-бит у nmap7, если он установлен, чтобы запретить выполнение от имени root. bash sudo chmod u-s /usr/bin/nmap7
    • Ограничьте использование nmap7 только для пользователей из группы sudo или wheel, изменив права доступа к файлу. bash sudo chown root:wheel /usr/bin/nmap7 sudo chmod 750 /usr/bin/nmap7

  2. Контроль доступа пользователей:

    • Пересмотрите список пользователей, имеющих доступ к веб-интерфейсу и CLI EyesOfNetwork. Минимизируйте их количество по принципу наименьших привилегий.
    • Временно отключите учетные записи пользователей, которым не требуется доступ к функционалу, связанному с Nmap.

  3. Мониторинг и аудит:

    • Настройте аудит (например, через auditd) на отслеживание выполнения команд nmap7 и nse. bash sudo auditctl -a always,exit -F path=/usr/bin/nmap7 -F perm=x -k eyesofnetwork_nmap sudo auditctl -a always,exit -F path=/usr/bin/nse -F perm=x -k eyesofnetwork_nse
    • Регулярно проверяйте логи на предмет подозрительной активности.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей