В системе ИТ-мониторинга Nagios XI устранили уязвимости внедрения кода

Екатерина Быстрова 05 Апреля 2024 - 20:13

...

В системе ИТ-мониторинга Nagios XI устранили уязвимости внедрения кода

Разработчики системы мониторинга ИТ-инфраструктуры Nagios XI поблагодарили старшего специалиста Positive Technologies Алексея Соловьева за обнаружение нескольких опасных уязвимостей.

Это программное обеспечение используется в дата-центрах, телекоммуникационных компаниях, у хостинг-провайдеров и в других крупных компаниях для оперативного мониторинга, сбора данных и управлениями сбоями сетевой инфраструктуры. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности.

В феврале 2024 года число доступных в интернете систем, на которых работает Nagios XI, оценивалось специалистами экспертного центра безопасности Positive Technologies более чем в 900 инсталляций. Треть из них находится в США (33,4%), в Китае — 8,4%, в Индии — 5%.

«Злоумышленник мог использовать уязвимости межсайтового скриптинга (для атаки администратора системы) и внедрения шелл-кода (для выполнения произвольного кода на сервере, на котором установлена Nagios XI). После этого атакующий потенциально мог бы отключать Nagios XI и другие системы и службы, использовать предоставленные мощности сервера. К примеру, выполнять майнинг криптовалюты или сделать сервер участником ботнета, похищать приватные данные, взламывать сетевую инфраструктуру и осуществлять другие вредоносные действия», — отмечает Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений, Positive Technologies.

Экспертом Positive Technologies были обнаружены уязвимости межсайтового скриптинга (BDU:2023-07898, BDU:2023-07893 и BDU:2023-07900, BDU:2023-07894, BDU:2023-07899 и BDU:2023-07901), внедрения SQL-кода (BDU:2023-07895) и внедрения шелл-кода (BDU:2023-07896) — обе с оценкой 9,1 балла по CVSS 3.0.

Для исправления этих уязвимостей необходимо установить Nagios XI версии 2024R1.0.1 или более новой версии.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 09:09

Общее

Let’s Encrypt может перестать выдавать сертификаты для .RU и .SU

У российских владельцев сайтов появился новый повод для беспокойства. В сообществе обратили внимание на изменения в пользовательском соглашении Let's Encrypt — крупнейшего в мире центра сертификации, который бесплатно выдаёт SSL-сертификаты для миллионов сайтов.

В новой версии (PDF) соглашения LE-SA v1.7 от 4 июня 2026 года появилась формулировка, которая может затронуть выдачу и продление сертификатов для доменов в зонах .RU и .SU.

На фоне этих обсуждений появились опасения, что российские сайты могут лишиться возможности получать или автоматически продлевать бесплатные сертификаты Let's Encrypt, которые за последние годы стали фактическим стандартом для защиты веб-ресурсов.

Ситуацию подогрело и то, что к ограничениям, по сообщениям участников рынка, присоединился другой популярный поставщик бесплатных сертификатов — ZeroSSL. Впрочем, говорить о полном отключении российских доменов пока рано.

Один из пользователей Хабра, обратившийся напрямую в Let's Encrypt за разъяснениями, получил официальный ответ от команды проекта. В нём говорится, что организация может выдавать сертификаты негосударственным структурам в России благодаря существующим исключениям в санкционном законодательстве США и специальным разрешениям Управления по контролю за иностранными активами (OFAC), направленным на поддержку свободы интернета и личных коммуникаций.

Однако ключевым словом в ответе оказалось именно «может». В юридическом смысле это означает наличие возможности, но не обязательства продолжать оказание услуг.

Поэтому вопрос о будущем сертификатов для российских доменов пока остаётся открытым. Автор запроса уже попросил Let's Encrypt уточнить позицию относительно дальнейшей выдачи и продления сертификатов.

Если ограничения всё же будут введены, последствия могут оказаться серьёзными. Let's Encrypt сегодня используется огромным количеством российских сайтов, небольших интернет-магазинов, корпоративных порталов и личных проектов. Для многих из них автоматическое продление бесплатных сертификатов давно стало привычной и практически незаметной частью работы инфраструктуры.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!