|
[CVE-2020-35578] Nagios XI RCE 침해사고분석팀 2021.01.29 |
|
|
Nagios XI에 RCE(Remote Code Execution) 취약점이 존재합니다.
Nagios XI는 시장에서 가장 강력하고 신뢰할 수있는 네트워크 모니터링 소프트웨어입니다.
해당 취약점은 monitoringplugins.php 페이지 내의 uploadedfile 매개 변수에 대한 부적절한 입력 유효성 검사로 인해 발생합니다. 원격의 공격자는 악의적으로 조작한 요청을 전송하여 공격할 수 있습니다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2020-35578 CVSS v2.0 Severity and Metrics: Base Score: 9.0 HIGH
[그림1. NVD 내역]
취약점 분석
해당 취약점은 monitoringplugins.php 페이지에서 사용자 입력을 받는 uploadedfile 매개 변수의 값을 제대로 검증하지 않아 발생합니다.
따라서, 해당 변수에 임의의 코드를 실행시킬 수 있습니다.
취약한 버전은 5.7.9 및 이전 버전들이며 패치된 버전은 5.8.0입니다.
[그림2. 패치 사항]
공격 분석 및 테스트
CVE-2020-35578의 공격 패킷은 다음과 같습니다.
[그림3. 취약한 부분]
[그림4. PoC 코드 일부]
취약점 대응 방안
1. 최신 버전 사용
해당 벤더사가 발표한 보안 권고문을 참고하여 최신의 버전으로 업데이트한다. https://www.nagios.com/products/security/
2. WINS Sniper 제품군 대응 방안
[5343] Nagios XI uploadedfile RCE
|
