Nagios XI: Schwachstellen CVE-2024-24401 und CVE-2024-24402; PoC öffentlich

Sicherheit (Pexels, allgemeine Nutzung)Kurzer Hinweis an die Leser und Leserinnen, die zufällig mit dem Monitoring-Tool Nagios XI unterwegs sein sollten (z.B. um Linux-Flotten zu überwachen). In der OpenSource-Lösung Nagios XI wurden die beiden Schwachstellen CVE-2024-24401 und CVE-2024-24402 entdeckt. Inzwischen ist auch ein Proof of Concept (PoC) öffentlich geworden. Es ist also höchste Zeit, das Produkt zu patchen.


Anzeige

Nagios Core ist ursprünglich eine Open-Source-Überwachungslösung für Server. Nagios XI ist eine IT-Infrastruktur Monitoring-Lösung für Server und Webdienste. Gerade für viele Linux-Admins dürfte das Tool, laut dieser Seite, die erste Wahl für das Server-Monitoring sein.

Nagios XI: Schwachstellen CVE-2024-24401 und CVE-2024-24402

Über obigen Tweet bin ich darauf gestoßen, dass in Nagios XI die Schwachstellen CVE-2024-24401 und CVE-2024-24402 bekannt geworden sind.

  • CVE-2024-24401 ist eine SQL-Injection-Schwachstelle in Nagios XI 2024R1.01,die einem entfernten Angreifer die Ausführung von beliebigem Code über einen manipulierten Payload in der Komponente monitoringwizard.php erlaubt.
  • CVE-2024-24402 findet sich in Nagios XI 2024R1.01 und ermöglicht es einem entfernten Angreifer, seine Rechte über ein manipuliertes Skript für die Komponente /usr/local/nagios/bin/npcd zu erweitern.

Der Sicherheitsforscher Jarod Jaslow (MAWK) hat diese Schwachstellen aufgedeckt und nun offengelegt sowie Proof-of-Concept-Beispiele veröffentlicht. Der Hersteller hat Nagios XI 2024R1.0.2 veröffentlicht, um die Schwachstellen zu schließen. Security Online hat hier einige Details veröffentlicht, und von heise gibt es einen deutschsprachigen Artikel dazu.


Anzeige


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Nagios XI: Schwachstellen CVE-2024-24401 und CVE-2024-24402; PoC öffentlich

  1. Bernd B. sagt:

    Nur als Ergänzung, damit durch "(z.B. um Linux-Flotten zu überwachen)" nicht der Eindruck entsteht, Nagios sei ein Tool (nur) für Linux: Es kann natürlich auch zur vollständigen Überwachung von Windows* eingesetzt werden.

    * www . nagios . com/solutions/windows-monitoring/

  2. D sagt:

    Hm,
    ich wüsste da mal gerne wie es sich mit CheckMK verhält.
    Zumindest die RAW-Version setzt Nagios als Kern ein und jenachdem wo der Fehler sitzt, ist die eigene Entwicklung möglicherweise auch betroffen.
    Allerdings habe ich bis jetzt noch keine Informationen auf den Seiten von CheckMK gefunden….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.