Dopad
LibreNMS verze 24.9.1 a starší obsahují chybu zabezpečení, která umožňuje ověřeným uživatelům provádět vkládání příkazů OS [S2]. Úspěšné využití umožňuje provádění libovolných příkazů s oprávněními uživatele webového serveru [S1]. To může vést k úplné kompromitaci systému, neoprávněnému přístupu k citlivým monitorovacím datům a potenciálnímu bočnímu pohybu v rámci síťové infrastruktury spravované LibreNMS [S2].
Hlavní příčina
Tato chyba zabezpečení má kořeny v nesprávné neutralizaci vstupu dodaného uživatelem před jeho začleněním do příkazu operačního systému [S1]. Tato vada je klasifikována jako CWE-78 [S1]. V postižených verzích konkrétní ověřené koncové body nedokážou adekvátně ověřit nebo dezinfikovat parametry před jejich předáním do prováděcích funkcí na úrovni systému [S2].
Náprava
Uživatelé by měli upgradovat svou instalaci LibreNMS na verzi 24.10.0 nebo novější, aby tento problém vyřešili [S2]. Obecným osvědčeným bezpečnostním postupem je, že přístup k administrativnímu rozhraní LibreNMS by měl být omezen na důvěryhodné síťové segmenty pomocí firewallů nebo seznamů řízení přístupu (ACL) [S1].
Jak to testuje FixVibe
FixVibe to nyní zahrnuje do repo skenů GitHub. Kontrola čte pouze soubory závislostí autorizovaného úložiště, včetně composer.lock a composer.json. Označí uzamčené verze nebo omezení librenms/librenms, které odpovídají ovlivněnému rozsahu <=24.9.1, a poté oznámí soubor závislosti, číslo řádku, poradní ID, ovlivněný rozsah a pevnou verzi.
Toto je statická repo kontrola pouze pro čtení. Neprovádí zákaznický kód a neposílá zneužití dat.