Os pesquisadores da Skylight Cyber de segurança cibernética revelaram detalhes sobre 13 vulnerabilidades no aplicativo de monitoramento de rede Nagios que permitem sequestrar toda infraestrutura da TI sem qualquer intervenção do operador.
Adi Ashkenazy, CEO da firma, disse:
Em um cenário de telecomunicações, onde uma operadora monitora milhares de sites, se o site de um cliente estiver totalmente comprometido, um invasor pode usar as vulnerabilidades para comprometer a telecom e, em seguida, todos os outros sites dos clientes monitorados.
Nagios é uma ferramenta de infraestrutura de TI de código aberto análoga ao SolarWinds que oferece serviços de monitoramento e alerta para servidores, redes, aplicativos e serviços.
Os problemas, que consistem em uma combinação de execução remota de códigos autenticados e falhas de escalonamento de privilégios, foram descobertos e relatados a Nagios em outubro de 2020.
O principal deles é o CVE-2020-28648, uma validação de entrada inválida no componente Auto-Discovery do Nagios XI que os pesquisadores usaram como ponto de partida para acionar uma cadeia de exploit e encadear um total de cinco vulnerabilidades para realizar um "poderoso ataque upstream".
VEJA TAMBÉM: Novo e sofisticado trojan brasileiro ataca usuários de 70 bancos na Europa e América do Sul
Os pesquisadores da Skylight Cyber adicionam:
Ou seja, se nós, como invasores, comprometermos um site de cliente que está sendo monitorado usando um servidor Nagios XI, podemos comprometer o servidor de gerenciamento da empresa de telecomunicações e todos os outros clientes que estão sendo monitorados.
Ao corromper os dados retornados do servidor XI sob nosso controle, podemos acionar o Cross-Site Scripting e executar o código JavaScript no contexto de um usuário Fusion.
A próxima fase do ataque aproveita essa capacidade de executar código JavaScript no servidor Fusion para obter execução remota de códigos autenticados e, posteriormente, elevar as permissões para assumir o controle do servidor Fusion e, por fim, invadir servidores XI localizados em outras instalações do cliente.
Esse acontecimento, somado ao caso SolarWinds, colocaram as plataformas de monitoramento de rede no centro das preocupações de segurança cibernética.
Samir Ghanem, pesquisador da Skylight Cyber, finaliza:
A quantidade de esforço necessária para encontrar essas vulnerabilidades e explorá-las é insignificante no contexto de invasores sofisticados e, especificamente, de estados-nações
Se pudéssemos fazer isso como um projeto paralelo rápido, imagine como é simples para pessoas que dedicam todo o seu tempo para desenvolver esses tipos de exploits. Combine isso com o número de bibliotecas, ferramentas e fornecedores que estão presentes e podem ser aproveitados em uma rede moderna, e temos um grande problema em nossas mãos.
Fonte: Security Affairs
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!