CVE-2021-25298

Nagios Nagios XI

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

Nagios XI contains a vulnerability which can lead to OS command injection on the Nagios XI server.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-25298) в Nagios XI позволяет атакующему выполнить произвольные команды на уровне операционной системы сервера. Это достигается через недостаточную валидацию входных данных в определенных параметрах веб-интерфейса (например, в компонентах, связанных с управлением плагинами или конфигурацией). В результате злоумышленник может получить полный контроль над сервером Nagios XI.

Как исправить

Необходимо обновить Nagios XI до версии, содержащей исправление. Уязвимость устранена в версии 5.8.0 и выше.

  1. Проверьте текущую версию: bash cat /usr/local/nagiosxi/var/xiversion

  2. Создайте полную резервную копию системы перед обновлением, следуя официальной документации Nagios.

  3. Выполните обновление до последней стабильной версии (например, 5.8.0 или новее), используя официальный скрипт обновления: bash cd /tmp wget https://assets.nagios.com/downloads/nagiosxi/xi-latest.tar.gz tar xzf xi-latest.tar.gz cd nagiosxi ./fullinstall Примечание: Процесс обновления может отличаться в зависимости от текущей версии. Всегда следуйте актуальным инструкциям на портале поддержки Nagios.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ:

    • Настройте межсетевой экран (firewall) так, чтобы доступ к веб-интерфейсу Nagios XI (обычно порты 80/TCP, 443/TCP) был разрешен только с доверенных IP-адресов (например, с сети администраторов).
    • Пример правила iptables для разрешения доступа только из сети 192.168.1.0/24: bash iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP

  2. Настройте WAF (Web Application Firewall):

    • Разместите перед Nagios XI WAF (например, ModSecurity для Nginx/Apache) с включенными правилами для блокировки попыток инъекций команд (правила OWASP CRS, классы 932xxx).

  3. Пересмотрите права доступа:

    • Убедитесь, что веб-сервер и процессы Nagios XI работают от имени отдельного, непривилегированного пользователя (например, nagios или www-data), чтобы минимизировать ущерб в случае успешной атаки.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей