Nagios XI: Schwachstellen CVE-2024-24401 und CVE-2024-24402; PoC öffentlich

Kurzer Hinweis an die Leser und Leserinnen, die zufällig mit dem Monitoring-Tool Nagios XI unterwegs sein sollten (z.B. um Linux-Flotten zu überwachen). In der OpenSource-Lösung Nagios XI wurden die beiden Schwachstellen CVE-2024-24401 und CVE-2024-24402 entdeckt. Inzwischen ist auch ein Proof of Concept (PoC) öffentlich geworden. Es ist also höchste Zeit, das Produkt zu patchen.

Nagios Core ist ursprünglich eine Open-Source-Überwachungslösung für Server. Nagios XI ist eine IT-Infrastruktur Monitoring-Lösung für Server und Webdienste. Gerade für viele Linux-Admins dürfte das Tool, laut dieser Seite, die erste Wahl für das Server-Monitoring sein.

Über obigen Tweet bin ich darauf gestoßen, dass in Nagios XI die Schwachstellen CVE-2024-24401 und CVE-2024-24402 bekannt geworden sind.

• CVE-2024-24401 ist eine SQL-Injection-Schwachstelle in Nagios XI 2024R1.01,die einem entfernten Angreifer die Ausführung von beliebigem Code über einen manipulierten Payload in der Komponente monitoringwizard.php erlaubt.
• CVE-2024-24402 findet sich in Nagios XI 2024R1.01 und ermöglicht es einem entfernten Angreifer, seine Rechte über ein manipuliertes Skript für die Komponente /usr/local/nagios/bin/npcd zu erweitern.

Der Sicherheitsforscher Jarod Jaslow (MAWK) hat diese Schwachstellen aufgedeckt und nun offengelegt sowie Proof-of-Concept-Beispiele veröffentlicht. Der Hersteller hat Nagios XI 2024R1.0.2 veröffentlicht, um die Schwachstellen zu schließen. Security Online hat hier einige Details veröffentlicht, und von heise gibt es einen deutschsprachigen Artikel dazu.