Các nhà nghiên cứu bảo mật vừa phát hiện hai lỗ hổng Nagios Log Server nghiêm trọng, phơi bày thông tin hệ thống quan trọng và cho phép thao túng dịch vụ trái phép. Đây là một cảnh báo CVE quan trọng đối với các tổ chức sử dụng Nagios Log Server.

Phân tích CVE-2025-44823: Lộ API Key Quản trị

CVE-2025-44823 là một lỗi bảo mật nghiêm trọng được chấm 9.9 trên thang điểm CVSS, xếp loại “critical”. Lỗ hổng này ảnh hưởng đến các phiên bản Nagios Log Server trước 2024R1.3.2 và gây ra rủi ro nghiêm trọng cho cơ sở hạ tầng giám sát của doanh nghiệp.

Cơ chế khai thác và Tác động

Lỗ hổng này cho phép bất kỳ người dùng đã xác thực nào cũng có thể truy xuất các khóa API quản trị dưới dạng văn bản rõ (cleartext). Việc khai thác được thực hiện thông qua một yêu cầu GET HTTP đơn giản tới điểm cuối sau:

/nagioslogserver/index.php/api/system/get_users

Sự phơi bày thông tin này xảy ra do hệ thống xử lý thông tin nhạy cảm không đúng cách, được phân loại theo CWE-497. Yêu cầu để khai thác lỗ hổng này rất thấp, chỉ cần người dùng có thông tin xác thực hợp lệ để truy cập hệ thống.

Khi bị khai thác thành công, kẻ tấn công sẽ có được quyền truy cập vào thông tin đăng nhập API quản trị. Những thông tin này có thể được sử dụng để chiếm quyền điều khiển hoàn toàn hệ thống. Vectơ tấn công dựa trên mạng (network-based) với độ phức tạp thấp và không yêu cầu tương tác của người dùng, làm cho nó trở nên đặc biệt nguy hiểm đối với các tổ chức có nhiều người dùng truy cập hệ thống.

Phân tích CVE-2025-44824: Ngừng Dịch vụ Elasticsearch Trái phép

CVE-2025-44824 đạt 8.5 trên thang điểm CVSS. Lỗ hổng này cho phép người dùng đã xác thực, ngay cả với quyền truy cập API chỉ đọc (read-only), có khả năng dừng dịch vụ Elasticsearch. Dù hệ thống phản hồi API thông báo “Could not stop elasticsearch”, dịch vụ thực sự vẫn bị chấm dứt thành công.

Chi tiết kỹ thuật và Hậu quả

Lỗ hổng này phát sinh từ vấn đề ủy quyền không chính xác (CWE-863). Hệ thống không xác thực đúng quyền của người dùng trước khi thực thi các thao tác đặc quyền. Điều này cho phép người dùng với quyền truy cập hạn chế gây ra tình trạng từ chối dịch vụ (denial of service) bằng cách làm gián đoạn các thành phần quan trọng của cơ sở hạ tầng ghi nhật ký (logging infrastructure).

Điểm cuối bị ảnh hưởng là:

/nagioslogserver/index.php/api/system/stop?subsystem=elasticsearch

Khả năng này có thể làm tê liệt khả năng thu thập và phân tích nhật ký, gây ảnh hưởng nghiêm trọng đến hoạt động giám sát và an ninh của toàn bộ hệ thống. Cả hai lỗ hổng Nagios Log Server này đều cần được xử lý khẩn cấp.

Khuyến nghị Bảo mật và Cập nhật

Các tổ chức đang chạy các phiên bản Nagios Log Server bị ảnh hưởng cần ngay lập tức nâng cấp lên phiên bản 2024R1.3.2 hoặc mới hơn để khắc phục cả hai lỗ hổng. Thông tin về các bản vá đã được ghi lại trong changelog chính thức của Nagios, xác nhận rằng nhà cung cấp đã nhận thức và giải quyết các vấn đề bảo mật này. Đây là một bản vá bảo mật cực kỳ quan trọng.

Các bước hành động cần thiết

• Nâng cấp Hệ thống: Ưu tiên nâng cấp Nagios Log Server lên phiên bản 2024R1.3.2 hoặc cao hơn.
• Kiểm toán Quyền truy cập: Đội ngũ an ninh cần kiểm toán lại cấp độ truy cập của người dùng và giám sát các cuộc gọi API đáng ngờ nhắm vào các điểm cuối dễ bị tổn thương.
• Xoay vòng API Keys: Với tính chất nghiêm trọng của CVE-2025-44823, nếu có bất kỳ dấu hiệu khai thác nào, hãy giả định rằng thông tin đăng nhập quản trị có thể đã bị xâm phạm và xoay vòng (rotate) tất cả các khóa API tương ứng.

Việc công bố đồng thời cả hai lỗ hổng Nagios Log Server này nhấn mạnh tầm quan trọng của việc kiểm thử bảo mật toàn diện trong các giải pháp giám sát doanh nghiệp, đặc biệt là những giải pháp xử lý các chức năng quản trị nhạy cảm và hoạt động kiểm soát dịch vụ.

Để biết thêm thông tin về các lỗ hổng bảo mật và cách chúng được phân loại, truy cập NIST National Vulnerability Database.