CVE-2021-25296 の詳細
CVEの情報
説明:
Nagios XI version xi-5.7.5 is affected by OS command injection. The vulnerability exists in the file /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php due to improper sanitization of authenticated user-controlled input by a single HTTP request, which can lead to OS command injection on the Nagios XI server.
CVE更新日: 2021-02-15 13:15:12.683000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2022-01-18
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.715360000
EPSS更新日: 2026-07-18 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2021-25296について、以下の観点で解説します。
1. 脆弱性の概要
Nagios XIに存在するOSコマンドインジェクションの脆弱性です。認証されたユーザーが制御可能な入力の不適切なサニタイズにより、攻撃者がNagios XIサーバー上でOSコマンドを挿入し、実行できる可能性があります。
1.1 影響
本脆弱性が悪用されると、Apacheユーザーの権限で任意のOSコマンドが実行されます。 実際に、この脆弱性を悪用してXMRigコインマイナーを展開するクリプトジャッキング攻撃が観測されています。 侵害されたデバイスではパフォーマンスの低下が発生する可能性があり、攻撃者がオンラインでスクリプトを変更し、さらなるセキュリティ上の影響を引き起こす可能性もあります。
1.2 深刻度
深刻度は「高 (High)」と評価されています。 また、CISAの「既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog)」に掲載されており、活発な悪用が確認されている脆弱性です。
2. 対象となる環境
2.1 影響を受けるOSバージョン
本脆弱性はNagios XIソフトウェア自体に存在します。影響を受けるNagios XIのバージョンは以下の通りです。
2.2 影響を受ける設定
本脆弱性は、Nagios XIの「Configuration Wizard: Windows Management Instrumentation (WMI)」機能内のファイル
/usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.phpに存在します。 脆弱性の悪用には、認証されたユーザーによる入力が必要です。3. 影響を受けた時の兆候
systemd-py-run.sh、systemd-run.py、systemd-udevd-run.sh、systemd-udevd.sh、workrun.sh、systemd-dev)に関連するプロセスが実行されている。/usr/lib/devおよび/tmp/usr/libフォルダ内に疑わしいファイルが存在する。4. 推奨対策
4.1 本対策
4.2 暫定回避策(緩和策)
/usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.phpファイルを更新する。参照したサイト