-
09/04/2020
-
115
-
1.167 bài viết
Lỗ hổng Nagios Log Server làm lộ khóa API và tấn công dịch vụ Elasticsearc
Các chuyên gia an ninh mạng vừa phát hiện hai lỗ hổng nghiêm trọng trong Nagios Log Server, cho phép kẻ tấn công truy cập thông tin nhạy cảm và can thiệp vào hoạt động của hệ thống chỉ với quyền người dùng đã xác thực. Những lỗ hổng này, mang mã CVE-2025-44823 và CVE-2025-44824, ảnh hưởng đến các phiên bản trước 2024R1.3.2, gây rủi ro lớn cho cơ sở hạ tầng giám sát của doanh nghiệp.
Lỗ hổng CVE-2025-44823 được đánh giá mức nghiêm trọng cao nhất với điểm CVSS 9,9, cho phép bất kỳ người dùng đã xác thực nào cũng có thể truy xuất các khóa API quản trị ở dạng văn bản thuần thông qua một yêu cầu GET tới /nagioslogserver/index.php/api/system/get_users. Nguyên nhân xuất phát từ việc xử lý thông tin nhạy cảm không đúng cách, thuộc loại CWE-497. Lỗ hổng này gần như không yêu cầu điều kiện tiên quyết nào khác ngoài việc có tài khoản hợp lệ, khiến việc khai thác trở nên đơn giản nhưng đặc biệt nguy hiểm. Khi bị lợi dụng, kẻ tấn công có thể chiếm quyền kiểm soát hoàn toàn hệ thống nhờ các khóa API quản trị, trong khi vector tấn công là mạng và độ phức tạp thấp, không đòi hỏi tương tác từ người dùng khác.
Bên cạnh đó, lỗ hổng CVE-2025-44824, với điểm CVSS 8,5, cho phép người dùng đã xác thực nhưng chỉ có quyền đọc API có thể dừng dịch vụ Elasticsearch. Mặc dù API trả về thông báo “Could not stop elasticsearch”, dịch vụ thực tế vẫn bị tắt thành công khi truy cập /nagioslogserver/index.php/api/system/stop?subsystem=elasticsearch. Vấn đề này thuộc loại xác thực sai quyền (CWE-863), nơi hệ thống không kiểm tra đầy đủ quyền của người dùng trước khi thực hiện các thao tác đặc quyền. Hậu quả là những người dùng với quyền hạn giới hạn vẫn có thể gây ra tình trạng từ chối dịch vụ, làm gián đoạn các thành phần hạ tầng ghi nhận nhật ký quan trọng.
Các tổ chức đang vận hành phiên bản Nagios Log Server bị ảnh hưởng cần nâng cấp ngay lên phiên bản 2024R1.3.2 hoặc mới hơn để khắc phục cả hai lỗ hổng. Các bản vá đã được ghi nhận trong changelog chính thức của Nagios, cho thấy nhà cung cấp đã xác nhận và xử lý các vấn đề bảo mật này. Ngoài việc nâng cấp phần mềm, các đội ngũ bảo mật nên kiểm tra lại quyền truy cập của người dùng và theo dõi các cuộc gọi API đáng ngờ nhắm vào những điểm cuối dễ bị tổn thương. Trong trường hợp CVE-2025-44823 bị khai thác, các tổ chức phải xem thông tin xác thực quản trị là đã bị xâm phạm và ngay lập tức thu hồi và thay thế tất cả các khóa API.
Sự xuất hiện đồng thời của hai lỗ hổng này nhấn mạnh mức nguy cơ nghiêm trọng mà Nagios Log Server phải đối mặt. Trong khi CVE-2025-44823 mở đường cho việc chiếm quyền kiểm soát toàn hệ thống, CVE-2025-44824 có thể gây gián đoạn dịch vụ Elasticsearch quan trọng, ảnh hưởng trực tiếp đến hạ tầng giám sát dữ liệu. Đây là lời cảnh báo rõ ràng về khả năng khai thác tinh vi và nhanh chóng, buộc các tổ chức phải thực hiện kiểm thử bảo mật toàn diện, áp dụng các biện pháp bảo vệ đa lớp và giám sát chặt chẽ để giảm thiểu thiệt hại nếu sự cố xảy ra.
Lỗ hổng CVE-2025-44823 được đánh giá mức nghiêm trọng cao nhất với điểm CVSS 9,9, cho phép bất kỳ người dùng đã xác thực nào cũng có thể truy xuất các khóa API quản trị ở dạng văn bản thuần thông qua một yêu cầu GET tới /nagioslogserver/index.php/api/system/get_users. Nguyên nhân xuất phát từ việc xử lý thông tin nhạy cảm không đúng cách, thuộc loại CWE-497. Lỗ hổng này gần như không yêu cầu điều kiện tiên quyết nào khác ngoài việc có tài khoản hợp lệ, khiến việc khai thác trở nên đơn giản nhưng đặc biệt nguy hiểm. Khi bị lợi dụng, kẻ tấn công có thể chiếm quyền kiểm soát hoàn toàn hệ thống nhờ các khóa API quản trị, trong khi vector tấn công là mạng và độ phức tạp thấp, không đòi hỏi tương tác từ người dùng khác.
Bên cạnh đó, lỗ hổng CVE-2025-44824, với điểm CVSS 8,5, cho phép người dùng đã xác thực nhưng chỉ có quyền đọc API có thể dừng dịch vụ Elasticsearch. Mặc dù API trả về thông báo “Could not stop elasticsearch”, dịch vụ thực tế vẫn bị tắt thành công khi truy cập /nagioslogserver/index.php/api/system/stop?subsystem=elasticsearch. Vấn đề này thuộc loại xác thực sai quyền (CWE-863), nơi hệ thống không kiểm tra đầy đủ quyền của người dùng trước khi thực hiện các thao tác đặc quyền. Hậu quả là những người dùng với quyền hạn giới hạn vẫn có thể gây ra tình trạng từ chối dịch vụ, làm gián đoạn các thành phần hạ tầng ghi nhận nhật ký quan trọng.
Các tổ chức đang vận hành phiên bản Nagios Log Server bị ảnh hưởng cần nâng cấp ngay lên phiên bản 2024R1.3.2 hoặc mới hơn để khắc phục cả hai lỗ hổng. Các bản vá đã được ghi nhận trong changelog chính thức của Nagios, cho thấy nhà cung cấp đã xác nhận và xử lý các vấn đề bảo mật này. Ngoài việc nâng cấp phần mềm, các đội ngũ bảo mật nên kiểm tra lại quyền truy cập của người dùng và theo dõi các cuộc gọi API đáng ngờ nhắm vào những điểm cuối dễ bị tổn thương. Trong trường hợp CVE-2025-44823 bị khai thác, các tổ chức phải xem thông tin xác thực quản trị là đã bị xâm phạm và ngay lập tức thu hồi và thay thế tất cả các khóa API.
Sự xuất hiện đồng thời của hai lỗ hổng này nhấn mạnh mức nguy cơ nghiêm trọng mà Nagios Log Server phải đối mặt. Trong khi CVE-2025-44823 mở đường cho việc chiếm quyền kiểm soát toàn hệ thống, CVE-2025-44824 có thể gây gián đoạn dịch vụ Elasticsearch quan trọng, ảnh hưởng trực tiếp đến hạ tầng giám sát dữ liệu. Đây là lời cảnh báo rõ ràng về khả năng khai thác tinh vi và nhanh chóng, buộc các tổ chức phải thực hiện kiểm thử bảo mật toàn diện, áp dụng các biện pháp bảo vệ đa lớp và giám sát chặt chẽ để giảm thiểu thiệt hại nếu sự cố xảy ra.
Tổng hợp