Nagios Log Server: disponibili exploit pubblici per exposure di API key e interruzione di Elasticsearch

CSIRT-ITA segnala che per Nagios Log Server (versioni antecedenti alla 2024R1.3.2) sono stati resi pubblici Proof of Concept per due vulnerabilità già corrette dal vendor.

CVE-2025-44823 (CVSS 9.9) è un difetto di information disclosure nell’endpoint /api/system/get_users: un utente autenticato con qualsiasi token API può invocarlo e ricevere la lista completa degli account, comprensiva delle API key in plaintext, permettendo l’escalation a ruoli amministrativi e la compromissione totale della piattaforma.​

CVE-2025-44824 (CVSS 8.5) è un problema di incorrect authorization nel servizio di controllo: un utente con permessi di sola lettura può inviare una richiesta a /api/system/stop?subsystem=elasticsearch, fermando il processo Elasticsearch nonostante la risposta JSON dichiari un errore (“Could not stop elasticsearch”). Ciò causa un’interruzione del servizio di indicizzazione e ricerca dei log, con impatto immediato sulle capacità di monitoraggio e allerta.​

Impatto:

• CVE-2025-44823: furto di credenziali amministrative e takeover dell’intero sistema.

• CVE-2025-44824: negazione di servizio sul motore Elasticsearch, compromissione della visibilità operativa e di sicurezza.
   

Azioni consigliate:

• Aggiornare immediatamente a Nagios Log Server 2024R1.3.2 o successiva (o alla serie 2024R2, rilasciata il 19 marzo 2025).​

• Ruotare tutte le API key esistenti dopo l’update, presupponendo compromissione potenziale.

• Limitare l’accesso alle API a soli amministratori e sistemi di gestione attendibili.

• Monitorare i log delle API per chiamate a /api/system/get_users e /api/system/stop, e investigare eventuali interruzioni di Elasticsearch.

• Segmentare la rete per isolare il servizio Nagios Log Server e ridurre la superficie di attacco.
   

Fonti: ACN, Secure-ISS, Nagios