Компания Nagios устранила серьёзную уязвимость типа межсайтового скриптинга (XSS) в своей корпоративной платформе мониторинга Nagios XI, которая позволяла удалённым злоумышленникам выполнять произвольный код JavaScript в браузерах пользователей. Уязвимость, обнаруженная в функции Graph Explorer, была исправлена в выпуске 2024R2.1 от 12 августа 2024 года.
Проблема была ответственно раскрыта исследователем безопасности Мариусом Лихeтом, который идентифицировал слабость XSS в определённых параметрах функциональности Graph Explorer. Этот компонент позволяет администраторам визуализировать данные о производительности и сетевые метрики с помощью интерактивных диаграмм и графиков, что делает его часто используемым инструментом в корпоративных средах.
Уязвимости межсайтового скриптинга такого характера позволяют злоумышленникам внедрять вредоносный код JavaScript, который выполняется в контексте легитимных пользовательских сессий. При успешной эксплуатации атакующие могли потенциально похищать аутентификационные куки, захватывать пользовательские сессии, перенаправлять жертв на вредоносные-сайты или выполнять несанкционированные действия от имени авторизованного администраторов.
Механизм обработки параметров в функции Graph Explorer содержал недостаточную валидацию входных данных и кодирование вывода, создавая возможности для атак с внедрением скриптов. Злоумышленники могли создавать специально сформированные URL-адреса или формы, содержащие JavaScript-полезные нагрузки, которые выполнялись бы при обработке уязвимым компонентом.
Учитывая широкое распространение Nagios XI в корпоративных средах для мониторинга критической инфраструктуры, эта уязвимость представляла значительные риски для организаций, полагающихся на данную платформу для сетевого наблюдения и управления производительностью. Пользователи с административными привилегиями представляли собой особенно ценные цели для потенциальной эксплуатации.
В версии 2024R2.1, помимо исправления уязвимости XSS, были внесены значительные улучшения в области безопасности и функциональности. Среди важных усовершенствований — интеграция с Nagios Mod-Gearman для улучшения распределения задач, расширение поддержки уровней лицензирования и специальный интерфейс управления задачами SNMP Walk.
Обновление также устранило несколько операционных проблем, влияющих на управление панелью инструментов, проверки аутентификации RADIUS и функциональность отображения отчетов по планированию мощностей. Кроме того, Nagios прекратил поддержку Ubuntu 20 в связи с окончанием ее жизненного цикла, рекомендуя пользователям перейти на поддерживаемые версии операционной системы.
Организации, использующие уязвимые установки Nagios XI, должны в первую очередь установить это обновление безопасности, чтобы устранить уязвимость XSS и воспользоваться дополнительными улучшениями стабильности. Комплексный характер этого выпуска демонстрирует стремление Nagios поддерживать надежную систему безопасности и одновременно расширять возможности платформы для удовлетворения требований мониторинга предприятий.
Системные администраторы должны проверить текущие развертывания Nagios XI, убедиться в совместимости обновлений с существующими конфигурациями и запланировать окна обслуживания для развертывания патчей. Регулярные оценки безопасности и своевременное применение обновлений, предоставляемых поставщиками, остаются важными мерами для поддержания безопасной инфраструктуры мониторинга в корпоративных средах.
