Специалисты по кибербезопасности обнаружили две опасные уязвимости в системе мониторинга Nagios Log Server, которые позволяют злоумышленникам получать конфиденциальные данные и нарушать работу критически важных служб. Уязвимости, зарегистрированные под идентификаторами CVE-2025-44823 и CVE-2025-44824, затрагивают версии программного обеспечения до 2024R1.3.2 и представляют серьезную угрозу для корпоративной инфраструктуры наблюдения.
Детали уязвимостей
Первая уязвимость CVE-2025-44823 получила максимально возможную оценку критичности CVSS 9.9. Этот недостаток безопасности позволяет любому аутентифицированному пользователю извлекать административные API-ключи в незашифрованном виде через простой GET-запрос к эндпоинту /nagioslogserver/index.php/api/system/get_users. Проблема относится к категории CWE-497, связанной с неправильным обращением с конфиденциальной системной информацией. Для эксплуатации уязвимости злоумышленнику требуется только действительная учетная запись пользователя, что делает эту угрозу особенно опасной в организациях, где к системе имеют доступ много сотрудников.
Получение административных API-ключей открывает путь к полному компрометации системы мониторинга. Злоумышленники могут использовать украденные учетные данные для несанкционированного доступа к данным наблюдения, изменения конфигураций системы или проникновения в смежные сегменты корпоративной сети. Вектор атаки является сетевым, требует минимальной сложности реализации и не предполагает взаимодействия с пользователем, что значительно упрощает проведение атаки.
Вторая уязвимость CVE-2025-44824 с оценкой CVSS 8.5 позволяет пользователям с правами только на чтение останавливать службу Elasticsearch, которая является ключевым компонентом системы логирования. При вызове API /nagioslogserver/index.php/api/system/stop?subsystem=elasticsearch система возвращает сообщение об ошибке "Could not stop elasticsearch", однако на практике служба успешно прекращает работу. Эта проблема классифицируется как CWE-863 - неправильная проверка прав доступа, когда система не выполняет adequate проверку полномочий пользователя перед выполнением привилегированных операций.
Возможность нарушения работы Elasticsearch создает риски отказа в обслуживании критически важных компонентов системы логирования. В результате атаки организация может лишиться возможности отслеживать события безопасности и операционные инциденты, что особенно опасно в ситуациях, требующих непрерывного мониторинга. Даже пользователи с ограниченными правами доступа могут использовать эту уязвимость для нарушения работоспособности инфраструктуры наблюдения.
Производитель Nagios уже выпустил исправления в версии 2024R1.3.2, информация о которых содержится в официальном журнале изменений продукта. Организациям, использующим уязвимые версии программного обеспечения, рекомендуется немедленно обновить свои системы до актуальной версии. Учитывая критический характер уязвимости CVE-2025-44823, специалистам по безопасности следует предположить возможную компрометацию административных учетных данных в случае эксплуатации уязвимости и выполнить ротацию всех API-ключей.
Эксперты рекомендуют проведение дополнительных мер безопасности, включая аудит уровней доступа пользователей и мониторинг подозрительных API-вызовов к уязвимым эндпоинтам. Следует обратить особое внимание на действия, направленные на получение информации о пользователях системы и попытки остановки служб логирования. Одновременное обнаружение двух серьезных уязвимостей подчеркивает важность комплексного тестирования безопасности в решениях для корпоративного мониторинга, особенно тех, которые обрабатывают конфиденциальные административные функции и операции управления службами.
Обе уязвимости демонстрируют необходимость строгого контроля доступа в системах мониторинга, которые часто становятся целью для кибератак из-за их стратегического положения в корпоративной инфраструктуре. Регулярное обновление программного обеспечения и тщательная настройка политик доступа остаются ключевыми мерами защиты для организаций, использующих решения для наблюдения за ИТ-инфраструктурой.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-44823
- https://www.cve.org/CVERecord?id=CVE-2025-44824
- https://www.nagios.com/changelog/#log-server
- https://www.exploit-db.com/exploits/52177
- https://github.com/skraft9/nagios-log-server-dos
