Varios fallos en Nagios XI

Para hoy martes, tenemos una entrada de Sergio Galán, alias @NaxoneZ, que inicia su andadura como colaborador de este blog.

Pueden encontrarle en su blog naxonez.wordpress.com o seguirle en Twitter.

Cuando hablamos de monitorización el primer software que nos suele venir a la cabeza es Nagios. Según la Wikipedia y para quien no lo sepa, “Nagios es un sistema de monitorización de redes de código abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no es el deseado. Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP…), de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos…), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados o SSH, y la posibilidad de programar pluggins específicos para nuevos sistemas.”

Como en todo software opensource, existe la versión enterprise, que en el caso de Nagios se denomina Nagios XI. En este post vamos a ver algunos fallos de seguridad que ya han sido notificados al equipo de desarrollo de esta herramienta y en la nueva release dejaran de estar, afortunadamente. Vamos a comenzar a buscar posibles puntos de fallo, para lo que usaremos la demo que podemos visitar en su sitio web: http://nagiosxi.demos.nagios.com/.

Una de las cosas que me pareció curiosa, es que esta versión de Nagios usa URLs limpias, por lo que podríamos decir que oculta las variables GET. No obstante, no por estar ocultas, estas variables dejan de existir, ya que si posicionamos el ratón sobre un enlace podremos ver como efectivamente los parámetros se pasan usando variables GET.

En esta captura podemos ver como al hacer click sobre “Hostgroup Summary” la URL que nos muestra el navegador está limpia pero el direccionamiento se nutre de variables GET que podemos explotar del siguiente modo:

Como podemos observar lo único que se ha hecho ha sido copiar el enlace del link y modificar las variables GET para obtener un XSS. Cabe destacar que todas las variables GET de esta versión de Nagios XI son susceptibles a XSS. Existen otros campos capaces de recibir un ataque XSS como por ejemplo el campo “search”:

O también en otros campos de entrada como puede ser el de filtro de páginas:

Cómo último ejemplo observaremos el campo “DashBoard Title”, que se ejecuta al previsualizar los distintos Dashboard que tenemos:

Cabe destacar que estos fallos se pueden corregir fácilmente filtrando todas las variables GET y campos de entrada que tengamos en la web utilizando para ello diversas funciones, que dependiendo del lenguaje varían. En php por ejemplo tenemos el caso del html_entities que nos puede ayudar en esta tarea.

Existe otro fallo en Nagios XI el cual también ha sido informado al fabricante y en la siguiente release dejará de estar, al igual que los fallos comentados anteriormente. En este caso el fallo es un URL Redirect Abuse, que permitiría al atacante redirigir al usuario a una página maliciosa. Este fallo se encuentra en la siguiente URL:

Como se puede observar hemos insertado una página inofensiva como es Google como PoC, pero podriamos insertar cualquier otra página. Este fallo se puede mitigar filtrando la dirección que se le pasa, para evitar que nos redirigan a páginas no deseadas. Como he comentado, ya me he puesto en contacto con el equipo de desarrolladores y me han comentado que en la próxima release estos problemas habrán sido eliminados.

La verdad que me gustaría enviar un saludo al equipo de desarrolladores por su grata respuesta y animar a cualquiera que encuentre algún fallo a avisarles, ya que realmente en mi caso particular se han tomado la molestia de contestarme y agradecerme la notificación y lo más importante prestar atención y arreglar estos fallos que he comentado en este post.

Sin más por hoy,

Saludos y ¡hasta otra!

Trackbacks

  1. […] Varios fallos en Nagios XI(…) Como en todo software opensource, existe la versión enterprise, que en el caso de Nagios se denomina Nagios XI. En este post vamos a ver algunos fallos de seguridad que ya han sido notificados al equipo de desarrollo de esta herramienta y en la nueva release dejaran de estar, afortunadamente… […]