CVE-2021-25297

Nagios Nagios XI

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

Nagios XI contains a vulnerability which can lead to OS command injection on the Nagios XI server.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-25297) в Nagios XI позволяет атакующему выполнить произвольные команды на уровне операционной системы сервера Nagios XI. Это достигается путем внедрения вредоносных аргументов в определенные параметры веб-интерфейса, которые некорректно обрабатываются и передаются в системную оболочку (shell) для исполнения.

Как исправить

Необходимо обновить Nagios XI до версии, в которой уязвимость устранена.

  1. Проверьте текущую версию Nagios XI: bash cat /usr/local/nagiosxi/var/xiversion

  2. Обновите систему до версии 5.8.0 или новее. Для Nagios XI процесс обновления выполняется через специальный скрипт: bash # Перейдите в директорию со скриптами обновления cd /tmp # Скачайте полный пакет обновления (Full) для версии 5.8.0 wget https://assets.nagios.com/downloads/nagiosxi/5/xi-5.8.0.tar.gz # Распакуйте архив tar xzf xi-5.8.0.tar.gz # Перейдите в распакованную директорию и запустите скрипт обновления cd nagiosxi ./upgrade Важно: Перед обновлением обязательно создайте полную резервную копию системы (конфигурация, базы данных, пользовательские плагины).

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничьте сетевой доступ:

    • Настройте межсетевой экран (firewall) так, чтобы доступ к веб-интерфейсу Nagios XI (обычно порты 80/TCP, 443/TCP) был разрешен только с доверенных IP-адресов (например, сети администраторов). ```bash

    Пример для iptables (разрешить только от сети 10.0.1.0/24)

    iptables -A INPUT -p tcp --dport 443 -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Настройте WAF (Web Application Firewall):

    • Активируйте или настройте правила в имеющемся WAF (например, ModSecurity для Apache/Nginx) для блокировки запросов, содержащих шаблоны, характерные для инъекций команд (символы ;, |, &, $(), \n в параметрах запросов).

  3. Повысьте мониторинг:

    • Временно усильте мониторинг журналов (/var/log/httpd/ssl_access_log или /var/log/nginx/access.log) на предмет подозрительных запросов к интерфейсу Nagios XI.
    • Настройте алерты на необычно большое количество запросов от одного источника или запросы с явными признаками эксплуатации уязвимостей.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей