• InternationalIT

Caso Nagios: 13 falhas no software de monitoramento de TI representam sério risco para organizações

Atualizado: Mai 25

Os pesquisadores da Skylight Cyber de segurança cibernética revelaram detalhes sobre 13 vulnerabilidades no aplicativo de monitoramento de rede Nagios que permitem sequestrar toda infraestrutura da TI sem qualquer intervenção do operador.

VEJA TAMBÉM: Setor de Energia: Saiba como proteger sua infraestrutura crítica


Adi Ashkenazy, CEO da firma, disse:

Em um cenário de telecomunicações, onde uma operadora monitora milhares de sites, se o site de um cliente estiver totalmente comprometido, um invasor pode usar as vulnerabilidades para comprometer a telecom e, em seguida, todos os outros sites dos clientes monitorados.

Nagios é uma ferramenta de infraestrutura de TI de código aberto análoga ao SolarWinds que oferece serviços de monitoramento e alerta para servidores, redes, aplicativos e serviços.


Os problemas, que consistem em uma combinação de execução remota de códigos autenticados e falhas de escalonamento de privilégios, foram descobertos e relatados a Nagios em outubro de 2020.

Vulnerabilidades no monitoramento de rede Nagios que podem ser exploradas para fins maliciosos - Fonte: Skylight

O principal deles é o CVE-2020-28648, uma validação de entrada inválida no componente Auto-Discovery do Nagios XI que os pesquisadores usaram como ponto de partida para acionar uma cadeia de exploit e encadear um total de cinco vulnerabilidades para realizar um "poderoso ataque upstream".


VEJA TAMBÉM: Novo e sofisticado trojan brasileiro ataca usuários de 70 bancos na Europa e América do Sul


Os pesquisadores da Skylight Cyber adicionam:

Ou seja, se nós, como invasores, comprometermos um site de cliente que está sendo monitorado usando um servidor Nagios XI, podemos comprometer o servidor de gerenciamento da empresa de telecomunicações e todos os outros clientes que estão sendo monitorados.
Ao corromper os dados retornados do servidor XI sob nosso controle, podemos acionar o Cross-Site Scripting e executar o código JavaScript no contexto de um usuário Fusion.

A próxima fase do ataque aproveita essa capacidade de executar código JavaScript no servidor Fusion para obter execução remota de códigos autenticados e, posteriormente, elevar as permissões para assumir o controle do servidor Fusion e, por fim, invadir servidores XI localizados em outras instalações do cliente.


Esse acontecimento, somado ao caso SolarWinds, colocaram as plataformas de monitoramento de rede no centro das preocupações de segurança cibernética.


Samir Ghanem, pesquisador da Skylight Cyber, finaliza:

A quantidade de esforço necessária para encontrar essas vulnerabilidades e explorá-las é insignificante no contexto de invasores sofisticados e, especificamente, de estados-nações
Se pudéssemos fazer isso como um projeto paralelo rápido, imagine como é simples para pessoas que dedicam todo o seu tempo para desenvolver esses tipos de exploits. Combine isso com o número de bibliotecas, ferramentas e fornecedores que estão presentes e podem ser aproveitados em uma rede moderna, e temos um grande problema em nossas mãos.

Fonte: Security Affairs

Conheça nossas soluções seguras, avançadas e robustas de Cyber Security, LGPD, NGFW, Hardware, MFT, Monitoramento de Rede, NOC & SOC e Consultoria de TIC.


Assine a Newsletter IIT e receba conteúdos como esse diretamente em seu e-mail: