| Разработчики: | Nagios Enterprises |
| Отрасли: | Телекоммуникация и связь |
| Технологии: | ITSM - Системы управления IT-службой |
Основная статья: IT Service Management (ITSM)
2024: Устранение уязвимостей
Разработчики системы мониторинга ИТ-инфраструктуры Nagios XI поблагодарили старшего специалиста Positive Technologies Алексея Соловьева за обнаружение нескольких опасных уязвимостей. Это программное обеспечение используется в дата-центрах, телекоммуникационных компаниях, у хостинг-провайдеров и в других крупных компаниях для оперативного мониторинга, сбора данных и управлениями сбоями сетевой инфраструктуры. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности. Об этом Positive Technologies сообщили 5 апреля 2024 года.
В феврале 2024 года число доступных в интернете систем, на которых работает Nagios XI, оценивалось специалистами экспертного центра безопасности Positive Technologies более чем в 900 инсталляций. Треть из них находится в США (33,4%), в Китае — 8,4%, в Индии — 5%.
 | Злоумышленник мог использовать уязвимости межсайтового скриптинга (для атаки администратора системы) и внедрения шеллкода (для выполнения произвольного кода на сервере, на котором установлена Nagios XI). После этого атакующий потенциально мог бы отключать Nagios XI и другие системы и службы, использовать предоставленные мощности сервера. К примеру, выполнять майнинг криптовалюты или сделать сервер участником ботнета, похищать приватные данные, взламывать сетевую инфраструктуру и осуществлять другие вредоносные действия, — отметил Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений, Positive Technologies. |  |
Экспертом Positive Technologies были обнаружены уязвимости межсайтового скриптинга (BDU:2023-07898, BDU:2023-07893 и BDU:2023-07900, BDU:2023-07894, BDU:2023-07899 и BDU:2023-07901), внедрения SQL-кода (BDU:2023-07895) и внедрения шеллкода (BDU:2023-07896) — обе с оценкой 9,1 балла по CVSS 3.0.
Для исправления этих уязвимостей необходимо установить Nagios XI версии 2024R1.0.1 или более новой версии.
Подрядчики-лидеры по количеству проектов
Naumen (Наумен консалтинг) (328) Softline (Софтлайн) (97) Okdesk (Облачные Решения) (41) Террасофт (Terrasoft, ТС-Консалтинг) (38) Деснол Софт (35) Другие (677) Naumen (Наумен консалтинг) (14) Okdesk (Облачные Решения) (9) Elma (Элма, Интеллект Лаб, Практика БПМ) (7) БизнесАвтоматика НПЦ (3) Информатика и Сервис (2) Другие (16) Naumen (Наумен консалтинг) (18) Elma (Элма, Интеллект Лаб, Практика БПМ) (12) SimpleOne (Симпл 1) (10) Softline (Софтлайн) (3) КСК Технологии (2) Другие (18)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Naumen (Наумен консалтинг) (7, 353) Microsoft (13, 76) OmniNet (ОмниНет) (4, 55) Террасофт (Terrasoft, ТС-Консалтинг) (4, 47) Okdesk (Облачные Решения) (1, 42) Другие (600, 567) Naumen (Наумен консалтинг) (3, 14) Okdesk (Облачные Решения) (1, 10) Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 7) БизнесАвтоматика НПЦ (1, 3) Информатика и Сервис (1, 2) Другие (9, 9) Naumen (Наумен консалтинг) (4, 18) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 12) SimpleOne (Симпл 1) (1, 10) РусБИТех-Астра (ГК Астра) (1, 3) Деснол Софт (2, 2) Другие (9, 11) Naumen (Наумен консалтинг) (3, 12) РусБИТех-Астра (ГК Астра) (1, 11) SimpleOne (Симпл 1) (1, 7) Флант (Flant) (1, 4) Деснол Софт (2, 3) Другие (15, 18)Распределение систем по количеству проектов, не включая партнерские решения
Naumen Service Desk - 284 ITSM365.ru - 52 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 42 OmniTracker - 41 Service Desk Итилиум - 33 Другие 666 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 10 ITSM365.ru - 9 ELMA365 Service - 6 Naumen Service Desk - 3 Visary Help Desk - 3 Другие 15 ELMA365 Service - 12 SimpleOne ITSM (IT Service Management) - 10 ITSM365.ru - 9 Naumen Service Desk - 7 РусБИТех-Астра: ALD Pro - 3 Другие 14 
