ในการทดสอบแอปพลิเคชันการตรวจสอบและจัดการบันทึกยอดนิยม Nagios Log Server เวอร์ชัน 2.1.6 (ล่าสุด ณ เวลาที่ทำการทดสอบ) เราพบว่ามีความเสี่ยงต่อการโจมตี Stored XSS
รหัส CVE: CVE-2020-16157
สรุป
Nagios Log Server เป็นซอฟต์แวร์ Centralized Log Management, Monitoring และ Analysis ที่ได้รับความนิยม ซึ่งช่วยให้องค์กรสามารถดู จัดเรียง และกำหนดค่าบันทึกได้ เวอร์ชัน 2.1.6 ของแอปพลิเคชันพบว่ามีความเสี่ยงต่อ Stored XSS
การโจมตีด้วย Stored Cross Site Scripting เกี่ยวข้องกับผู้โจมตีที่ฉีดสคริปต์ (เรียกว่าเพย์โหลด) ที่เก็บไว้อย่างถาวร (คงอยู่) ในแอปพลิเคชันเป้าหมาย (เช่น ภายในฐานข้อมูล) ตัวอย่างคลาสสิกคือสคริปต์อันตรายที่ผู้โจมตีใส่ในช่องความคิดเห็นในบล็อกหรือในโพสต์ในฟอรัม
ผลกระทบ
ผู้โจมตี (ในกรณีนี้คือผู้ใช้ปกติที่ตรวจสอบสิทธิ์) สามารถใช้ช่องโหว่ที่มีความรุนแรงสูงนี้เพื่อเรียกใช้ JavaScript ที่เป็นอันตรายโดยมีจุดประสงค์เพื่อขโมยคุกกี้ เปลี่ยนเส้นทางผู้ใช้ ดำเนินการตามอำเภอใจในนามของเหยื่อ (ในกรณีนี้คือผู้ดูแลระบบ) บันทึกการกดแป้นพิมพ์และ มากกว่า.
ผู้โจมตีไม่จำเป็นต้องหาวิธีภายนอกในการชักจูงให้ผู้ใช้รายอื่นส่งคำขอเฉพาะที่มีการแสวงหาประโยชน์จากพวกเขา ผู้โจมตีจะใส่ช่องโหว่ลงในแอปพลิเคชันและรอให้เหยื่อพบมัน
ช่องโหว่
ชื่อเต็ม หรือ ชื่อผู้ใช้ ใน /โปรไฟล์ หน้าหรือ /admin/users/create หน้ามีความเสี่ยงต่อ Stored XSS เมื่อเพย์โหลดได้รับการบันทึกในฟิลด์ใดฟิลด์หนึ่งเหล่านี้ ให้ไปที่การแจ้งเตือน หน้า (/การแจ้งเตือน ) และสร้างการแจ้งเตือนใหม่และเลือก ส่งอีเมลผู้ใช้ เป็นวิธีการแจ้ง . ตามที่แสดงรายชื่อผู้ใช้ จะเห็นได้ว่าเพย์โหลดได้รับการดำเนินการดังที่แสดงด้านล่าง
ไทม์ไลน์
- รายงานช่องโหว่ไปยังทีม Nagios เมื่อวันที่ 8 กรกฎาคม 2020
- Nagios Log Server 2.1.7 ที่มีการแก้ไขช่องโหว่ที่เผยแพร่เมื่อวันที่ 28 กรกฎาคม 2020
คำแนะนำ
ขอแนะนำให้อัปเดตแอปพลิเคชันเป็นเวอร์ชันล่าสุด
ข้อมูลอ้างอิง
- https://www.nagios.com/downloads/nagios-log-server/change-log/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16157
- https://nvd.nist.gov/vuln/detail/CVE-2020-16157
