CVE-2021-25296

Nagios Nagios XI

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

Nagios XI contains a vulnerability which can lead to OS command injection on the Nagios XI server.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-25296) в Nagios XI позволяет атакующему выполнить произвольные команды на уровне операционной системы сервера. Это достигается через недостаточную валидацию пользовательского ввода в определенных параметрах веб-интерфейса. В результате, аутентифицированный злоумышленник может получить полный контроль над сервером Nagios XI.

Как исправить

Необходимо обновить Nagios XI до версии, в которой уязвимость устранена.

  1. Определите текущую версию: bash cat /usr/local/nagiosxi/var/xiversion

  2. Обновите систему до версии 5.8.0 или новее. Рекомендуется устанавливать последнюю стабильную версию. Процесс обновления зависит от вашего метода установки.

    • Если использовался официальный скрипт установки: Скачайте последнюю версию и запустите скрипт полного обновления. bash cd /tmp wget https://assets.nagios.com/downloads/nagiosxi/xi-latest.tar.gz tar xzf xi-latest.tar.gz cd nagiosxi ./upgrade
    • Если установка производилась из пакетов (RPM/DEB): Обновите пакеты через менеджер пакетов вашего дистрибутива, предварительно добавив официальный репозиторий Nagios.

    Важно: Перед обновлением обязательно создайте полную резервную копию системы (конфигурация, база данных, пользовательские плагины).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ:

    • Настройте брандмауэр (например, iptables или firewalld), чтобы разрешить доступ к веб-интерфейсу Nagios XI (порты 80/443) только с доверенных IP-адресов (например, сети администраторов). ```bash

    Пример для iptables (разрешить только с сети 192.168.1.0/24)

    iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Настройте WAF (Web Application Firewall):

    • Включите и настройте модуль ModSecurity для веб-сервера (Apache/Nginx), обслуживающего Nagios XI. Активируйте правила, блокирующие попытки инъекций команд (например, из набора OWASP CRS). Ищите шаблоны, содержащие символы ;, |, &, $() и вызовы системных команд.

  3. Усильте контроль учетных записей:

    • Проверьте и минимизируйте список пользователей, имеющих доступ к веб-интерфейсу Nagios XI с правами администратора.
    • Включите сложную парольную политику и двухфакторную аутентификацию (2FA), если она поддерживается вашей версией.

  4. Мониторинг:

    • Временно усильте мониторинг журналов (/var/log/httpd/ssl_access_log, /var/log/httpd/ssl_error_log) на предмет подозрительных запросов, содержащих строки, характерные для эксплуатации RCE (например, cmd=, exec=, system().
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей