Paessler PRTG Network Monitor Local File Inclusion Vulnerability — Paessler PRTG Network Monitor contains a local file inclusion vulnerability that allows a remote, unauthenticated attacker to create users with read-write privileges (including administrator).
CVE-2018-19410 is a critical local file inclusion vulnerability in Paessler PRTG Network Monitor that allows remote, unauthenticated attackers to create users with read-write privileges, including full administrator access. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses an immediate threat to any organization using PRTG for network monitoring. Successful exploitation grants complete control over the monitoring infrastructure, potentially exposing sensitive network topology, credentials, and enabling lateral movement across the enterprise. This vulnerability is listed in CISA's Known Exploited Vulnerabilities catalog, confirming active exploitation in the wild.
IMMEDIATE ACTIONS:
1. Identify all PRTG Network Monitor instances in your environment immediately
2. Verify PRTG is not exposed to the internet — restrict access to management interfaces via firewall rules
3. Review PRTG user accounts for any unauthorized administrator accounts that may indicate prior compromise
PATCHING GUIDANCE:
4. Update PRTG Network Monitor to version 18.2.41.1652 or later, which addresses this vulnerability
5. If immediate patching is not possible, place PRTG behind a VPN or reverse proxy with strong authentication
COMPENSATING CONTROLS:
6. Implement network segmentation to isolate monitoring infrastructure
7. Enable multi-factor authentication for PRTG access where supported
8. Monitor PRTG audit logs for unauthorized user creation events
9. Restrict PRTG web interface access to specific management VLANs only
DETECTION RULES:
10. Monitor HTTP requests to PRTG for suspicious user creation API calls from unauthenticated sessions
11. Alert on new administrator account creation in PRTG logs
12. Monitor for anomalous access patterns to PRTG web interface (port 443/80)
الإجراءات الفورية:
1. تحديد جميع مثيلات PRTG Network Monitor في بيئتكم فوراً
2. التحقق من عدم تعرض PRTG للإنترنت — تقييد الوصول إلى واجهات الإدارة عبر قواعد جدار الحماية
3. مراجعة حسابات مستخدمي PRTG بحثاً عن أي حسابات مسؤول غير مصرح بها قد تشير إلى اختراق سابق
إرشادات التصحيح:
4. تحديث PRTG Network Monitor إلى الإصدار 18.2.41.1652 أو أحدث
5. إذا لم يكن التصحيح الفوري ممكناً، ضع PRTG خلف VPN أو وكيل عكسي مع مصادقة قوية
الضوابط التعويضية:
6. تنفيذ تجزئة الشبكة لعزل البنية التحتية للمراقبة
7. تمكين المصادقة متعددة العوامل للوصول إلى PRTG حيثما أمكن
8. مراقبة سجلات تدقيق PRTG لأحداث إنشاء المستخدمين غير المصرح بها
9. تقييد الوصول إلى واجهة PRTG الويب على شبكات VLAN الإدارية المحددة فقط
قواعد الكشف:
10. مراقبة طلبات HTTP إلى PRTG بحثاً عن استدعاءات API مشبوهة لإنشاء المستخدمين من جلسات غير مصادق عليها
11. التنبيه عند إنشاء حسابات مسؤول جديدة في سجلات PRTG
12. مراقبة أنماط الوصول غير الطبيعية لواجهة PRTG الويب