News
新聞資訊
公司動態
Nagioses XI遠程命令執行漏洞(CVE-2019-20197)
發布時間  :2020-01-16

        在Nagioses XI 5.6.9版本中 ,Nagioses的“報告”模塊存在漏洞 ,經過身份驗證的用戶可以在Web服務器用戶帳戶的上下文中 ,向schedulereport.php文件發送惡意命令參數 ,實現遠程命令執行 。

        【漏洞簡介】

        Nagioses是一款開源的電腦係統和網絡監視工具 ,能有效監控Windows 、Linux和Unix的主機狀態 ,交換機路由器等網絡設置 ,打印機等 。在係統或服務狀態異常時發出郵件或短信報警第一時間通知網站運維人員 ,在狀態恢複後發出正常的郵件或短信通知 。

        近日 ,有安全人員公開 ,在Nagioses XI 5.6.9版本中 ,Nagioses的“報告”模塊存在漏洞 ,經過身份驗證的用戶可以在Web服務器用戶帳戶的上下文中 ,向schedulereport.php文件發送惡意命令參數 ,實現遠程命令執行 。

        【風險評級】高危

        【影響範圍】

        Nagioses XI5.6.9

        【漏洞描述】

        Nagioses XI 5.6.9版本 ,在Nagioses的“報告”模塊中,在schedulereport.php 處理參數時 ,可通過修改id的參數內容實現遠程命令執行 。攻擊者需要獲得Nagioses XI 的web賬號 ,驗證登錄後才可以利用此漏洞 。

        以下是漏洞驗證 :

        修改id參數發送POST請求 





通過日誌監控可看到 ,下載了1.php ,並且成功執行了php 




【修複建議】

1.建議服務器管理員配置複雜密碼登錄 ,避免被爆破攻擊後再利用Nagioses XI遠程命令執行漏洞 。

2.配置受信任的源才能訪問該服務 。


公正性聲明
X

公正性聲明

本公司為提高服務質量 ,維護客戶合法權益 ,使客戶保持對公司的良好信心 ,特作如下聲明 :
(1)本公司具有獨立開展檢驗檢測業務的資格 ,遵守國家法律法規和認證認可機構的要求 ,應當遵守法律 、行政法規 、部門規章的規定 ,遵循客觀獨立、公平公正 、誠實信用原則 ,恪守職業道德 ,承擔社會責任 。嚴格遵守國家法律法規 ,堅持科學公正的立場 ,遵循良好的職業規範 ,對出具的測評/測試報告負法律責任 ;
(2)行為公正 ,為所有的測評/測試委托單位提供同樣的優質服務 ;
(3)嚴格按照CNAS-CI01:2012《檢驗機構能力認可準則》 、CNAS-CI01-G001:2021《檢驗機構能力認可準則的應用說明》 、CNAS-CL01:2018《檢測和校準實驗室能力認可準則》 、CNAS-CL01-G001 :2018《CNAS-CL01《檢測和校準實驗室能力認可準則》應用要求》 、RB/T 214-2017《檢驗檢測機構資質認定能力評價 檢驗檢測機構通用要求》 、《檢驗檢測機構資質認定管理辦法》(總局163號令2021年版) 、《檢驗檢測機構監督管理辦法》(國家市場監督管理總局令第39號令) 、CNAS-CL01-A019:2018《檢測和校準實驗室能力認可準則在軟件檢測領域的應用說明》和相關認可領域 、行業相關法律法規的要求 ,保證測評/測試工作的獨立性 、準確性和公正性性 ;
(4)保證嚴格按照國家標準進行測評/測試 ,確保測評/測試數據的準確性 ;
(5)行政管理人員不得利用職權隨意幹預測評/測試工作的正常進行 ,不得對測評/測試人員施加財務和其他方麵的壓力和影響 ,不得強製或暗示測評/測試人員變更測評/測試測結果 ,以確保測評/測試過程和結果的科學性 、可靠性 。
(6)公司工作人員保證自覺抵製經濟利益的誘惑或來自行政方麵的幹擾 ,不以權謀私 ,不受任何來自內外部的不正當的商業 、財務和其他方麵的壓力和影響 ,防止商業賄賂 ,以保證測評/測試工作的公正性 、獨立性和嚴肅性。
(7)本公司對在測評/測試活動中獲得的國家秘密 、商業秘密和技術秘密包括客戶的技術 、資料 、數據 、所有權進行嚴格保密 ,以維護客戶和公司的合法權益。對客戶的相關技術資料 、測評/測試信息負保密責任 ,未經客戶授權不得以任何形式擴散 。
(8)公司工作人員不得在與被測項目及工作範圍內的有關單位或其他檢測業務相同或相似的檢驗檢測機構兼職 ,且不得從事任何有損於公司公正形象的活動 ,公司管理層行為不得違背公正性聲明。
以上聲明 ,敬請客戶和社會各界給予監督 。

成都市新2會員手機管理端信息安全技術有限公司