Der Nagios Core, die Server-Überwachungssoftware, ist angreifbar. Der Sicherheitsexperte und Entdecker der Lücken Dawid Golunski warnt, dass durch zwei Sicherheitslücken das gesamte System kontrolliert und Befehle als root ausgeführt werden können.

Im Web-Frontend von Nagios klafft die erste Lücke namens CVE-2016-9565. Beim Login wird ein RSS-Feed vom Hersteller Nagios angezeigt. Offenbar wird beim Parsen nicht genügend Sorgfalt an den Tag gelegt. Über den RSS-Feed kann, laut Golunski, ein Angreifer beliebige Befehle einschleusen. Der Server, auf dem das Frontend läuft, führt den Befehl anschließend im Kontext des Nutzers www-data/nagios aus. Der Angreifer muss, um die Daten auf dem Transportweg zu manipulieren, entweder in der Position des Man-in-the-Middle sein, oder Kontrolle darüber haben, was beim Abruf des Nagios-Feeds ausgeliefert wird. Über einen DNS-Angriff kann der Angreifer letzteres erreichen.

Noch größeren Schaden kann der Angreifer, laut Golunski, in Kombination mit der zweiten entdeckten Lücke namens CVE-2016-9566 anrichten. Befehle können damit sogar als root ausgeführt werden. Dabei tritt der Fehler im Core Daemon bei der Verarbeitung von Log-Dateien auf. Im dazugehörigen Advisory erklärt der Sicherheitsexperte ausführlich, wie ein Angreifer über die erste Lücke zunächst in den Server eindringen und anschließend durch die zweite Lücke Root-Rechte erhalten kann. Eine Nagios Standardinstallation dient dabei als Grundlage. Golunski hat dazu ein Proof-of-Concept veröffentlicht.

Laut Timeline hat Nagios die Schwachstelle im Web-Frontend (CVE-2016-9565) bereits Ende Oktober mit Version 4.2.2 geschlossen. Anfang Dezember wurde die andere Lücke (CVE-2016-9566) mit Version 4.2.4 gefixt.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE