RSS

XSS en Nagios XI más BonusTrack

martes, 19 de julio de 2011

Con Bonus Track:

Al hacer "Vista Previa" del post, sale este mensaje en www.blogger.com... y para los que entiendan, sabrán a los que me refiero.


Como en todo software opensource, existe la versión enterprise, que en el caso de Nagios se denomina Nagios XI. En este post vamos a ver algunos fallos de seguridad que ya han sido notificados al equipo de desarrollo de esta herramienta y en la nueva release dejaran de estar, afortunadamente. Vamos a comenzar a buscar posibles puntos de fallo, para lo que usaremos la demo que podemos visitar en su sitio web: http://nagiosxi.demos.nagios.com/.


Una de las cosas que me pareció curiosa, es que esta versión de Nagios usa URLs limpias, por lo que podríamos decir que oculta las variables GET. No obstante, no por estar ocultas, estas variables dejan de existir, ya que si posicionamos el ratón sobre un enlace podremos ver como efectivamente los parámetros se pasan usando variables GET.




En esta captura podemos ver como al hacer click sobre “Hostgroup Summary” la URL que nos muestra el navegador está limpia pero el direccionamiento se nutre de variables GET que podemos explotar del siguiente modo:




Como podemos observar lo único que se ha hecho ha sido copiar el enlace del link y modificar las variables GET para obtener un XSS. Cabe destacar que todas las variables GET de esta versión de Nagios XI son susceptibles a XSS. Existen otros campos capaces de recibir un ataque XSS como por ejemplo el campo “search”:




O también en otros campos de entrada como puede ser el de filtro de páginas:


Cómo último ejemplo observaremos el campo “DashBoard Title”, que se ejecuta al previsualizar los distintos Dashboard que tenemos:




Cabe destacar que estos fallos se pueden corregir fácilmente filtrando todas las variables GET y campos de entrada que tengamos en la web utilizando para ello diversas funciones, que dependiendo del lenguaje varían. En php por ejemplo tenemos el caso del html_entities que nos puede ayudar en esta tarea.
Existe otro fallo en Nagios XI el cual también ha sido informado al fabricante y en la siguiente release dejará de estar, al igual que los fallos comentados anteriormente. En este caso el fallo es un URL Redirect Abuse, que permitiría al atacante redirigir al usuario a una página maliciosa. Este fallo se encuentra en la siguiente URL:




Como se puede observar hemos insertado una página inofensiva como es Google como PoC, pero podriamos insertar cualquier otra página. Este fallo se puede mitigar filtrando la dirección que se le pasa, para evitar que nos redirijan a páginas no deseadas.

RESUMEN:
Bug: XSS
http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2823%29;%3C/script%3E

http://nagioxi.demos.nagios.com/nagioxi (Search Field)

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=hostgroups&hostgroup=all&style=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2823%29;%3C/script%3E

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=services&hoststatustypes=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2823%29;%3C/script%3E&servicestatustypes=28

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?&show=services&servicetatusty pes=0&hoststatustypes=12&hostattr=”

http://nagiosxi.demos.nagios.com/nagiosxi/ (Latest Alert)

Bug: Redirect Abuse

Welcome

Con la tecnología de Blogger.