Nagios XI

Die Schwachstelle steckt in der Server-Überwachungssoftware Nagios XI, genauer in einem Bestandteil eines Konfigurationsassistenten, der für die Überwachung von Windows-Systemen per WMI zuständig ist. Dort werden Eingaben, die ein angemeldeter Benutzer steuern kann, nicht ausreichend gefiltert und bereinigt. Dadurch lässt sich über eine einzige präparierte HTTP-Anfrage eine Befehlsinjektion auslösen: Der Angreifer schleust eigene Betriebssystembefehle ein, die anschließend direkt auf dem Nagios-XI-Server ausgeführt werden. Voraussetzung ist eine vorherige Anmeldung am System, also ein bereits authentifizierter Zugang. Gelingt der Angriff, kann der Angreifer beliebige Befehle auf dem zugrunde liegenden Server absetzen und so weit über die eigentliche Überwachungsanwendung hinaus Kontrolle erlangen. Da Nagios XI als zentrale Überwachungsinstanz typischerweise Zugriff auf zahlreiche weitere Systeme im Netzwerk hat, ist ein kompromittierter Server ein besonders weitreichender Ausgangspunkt für Folgeangriffe.