الثغرات ›

CVE-2019-15949

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

ثغرة تنفيذ الأوامر البعيدة في Nagios XI عبر تعديل ملف Check Plugin

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Nagios XI Remote Code Execution Vulnerability — Nagios XI contains a remote code execution vulnerability in which a user can modify the check_plugin executable and insert malicious commands to execute as root.

🤖 ملخص AI

CVE-2019-15949 is a critical remote code execution vulnerability in Nagios XI that allows authenticated users to modify the check_plugin executable and inject malicious commands that execute with root privileges. With a CVSS score of 9.0 and a publicly available exploit, this vulnerability poses an immediate and severe threat to any organization using Nagios XI for IT infrastructure monitoring. Successful exploitation grants full system compromise, enabling attackers to pivot laterally across monitored networks. The combination of exploit availability and root-level access makes this a high-priority remediation target.

📄 الوصف (العربية)

تعاني منصة Nagios XI من ثغرة حرجة في التحكم بالوصول تسمح للمستخدمين المصرح لهم بتعديل ملف check_plugin القابل للتنفيذ وإدراج أوامر خبيثة. يتم تنفيذ هذه الأوامر بصلاحيات المسؤول (root)، مما يؤدي إلى السيطرة الكاملة على النظام. الثغرة موثقة في قائمة KEV وتتمتع باستغلالات عملية متاحة للجمهور.

🤖 ملخص تنفيذي (AI)

CVE-2019-15949 هي ثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد في نظام Nagios XI تتيح للمستخدمين المصادق عليهم تعديل الملف التنفيذي check_plugin وحقن أوامر خبيثة تُنفَّذ بصلاحيات الجذر (root). بدرجة CVSS تبلغ 9.0 وتوفر استغلال عام، تشكّل هذه الثغرة تهديداً فورياً وخطيراً لأي مؤسسة تستخدم Nagios XI لمراقبة البنية التحتية لتقنية المعلومات. يمنح الاستغلال الناجح سيطرة كاملة على النظام مما يُمكّن المهاجمين من التحرك الجانبي عبر الشبكات المراقبة. يجعل الجمع بين توفر الاستغلال والوصول بمستوى الجذر هذه الثغرة هدفاً ذا أولوية قصوى للمعالجة.

🤖 التحليل الذكي آخر تحليل: Apr 14, 2026 15:30

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations heavily reliant on Nagios XI for infrastructure monitoring face critical exposure. Energy sector entities including Saudi Aramco and affiliated contractors using Nagios XI for OT/IT monitoring could face catastrophic compromise of monitoring infrastructure, potentially masking attacks on critical systems. Government entities under NCA oversight and CITC-regulated telecom providers (STC, Mobily, Zain) using Nagios XI risk full network visibility compromise. SAMA-regulated banking institutions could face breaches of their monitoring infrastructure, violating SAMA CSF requirements. Healthcare organizations under MOH and Vision 2030 digital transformation initiatives are also at risk. Given that Nagios XI is widely deployed across Saudi enterprise environments as a primary network monitoring solution, the blast radius of exploitation is extremely broad, particularly since compromised monitoring infrastructure can be used to disable alerting during subsequent attacks.

🏢 القطاعات السعودية المتأثرة

Energy Government Banking Telecom Healthcare Defense Transportation Education

🎯 تقنيات MITRE ATT&CK

T1548.004 - Abuse Elevation Control Mechanism: Sudo and Sudo Caching T1548 - Abuse Elevation Control Mechanism T1059 - Command and Scripting Interpreter T1190 - Exploit Public-Facing Application T1068 - Exploitation for Privilege Escalation

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS (0-24 hours):

1. Identify all Nagios XI instances across the environment using asset inventory

2. Isolate Nagios XI servers from direct internet exposure immediately

3. Restrict access to Nagios XI web interface to trusted IP ranges via firewall ACLs

4. Audit current user accounts on Nagios XI — remove unnecessary accounts and review privilege levels

5. Check for signs of compromise: review /usr/local/nagios/libexec/check_plugin for unauthorized modifications

6. Review system logs for suspicious root-level command execution originating from Nagios processes

PATCHING GUIDANCE:

1. Upgrade Nagios XI to version 5.6.6 or later which addresses this vulnerability

2. Follow official Nagios upgrade documentation at https://assets.nagios.com/downloads/nagiosxi/docs/Upgrading-Nagios-XI.pdf

3. Verify patch integrity using official checksums before deployment

4. Test in staging environment before production rollout

COMPENSATING CONTROLS (if patching is delayed):

1. Implement strict file integrity monitoring (FIM) on check_plugin and all files in /usr/local/nagios/libexec/

2. Apply SELinux or AppArmor policies to restrict Nagios process privileges

3. Enable multi-factor authentication for all Nagios XI web interface accounts

4. Restrict Nagios XI to read-only accounts where possible

5. Deploy a WAF rule to detect and block suspicious POST requests to Nagios XI configuration endpoints

6. Monitor for privilege escalation attempts using auditd rules targeting nagios user activity

DETECTION RULES:

1. SIEM alert: Monitor for file modification events on /usr/local/nagios/libexec/check_plugin

2. IDS rule: Alert on HTTP POST requests to /nagiosxi/config/ endpoints from unexpected sources

3. EDR rule: Alert on child processes spawned by nagios daemon with root privileges

4. Log monitoring: Alert on sudo or su commands executed in context of nagios service account

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية (خلال 0-24 ساعة):

1. تحديد جميع نسخ Nagios XI عبر البيئة باستخدام جرد الأصول

2. عزل خوادم Nagios XI فوراً عن الإنترنت المباشر

3. تقييد الوصول إلى واجهة الويب الخاصة بـ Nagios XI على نطاقات IP موثوقة عبر قوائم التحكم في الوصول بجدار الحماية

4. مراجعة حسابات المستخدمين الحالية على Nagios XI وإزالة الحسابات غير الضرورية ومراجعة مستويات الصلاحيات

5. التحقق من علامات الاختراق: مراجعة الملف /usr/local/nagios/libexec/check_plugin بحثاً عن تعديلات غير مصرح بها

6. مراجعة سجلات النظام بحثاً عن تنفيذ أوامر مشبوهة بصلاحيات الجذر من عمليات Nagios

إرشادات التصحيح:

1. ترقية Nagios XI إلى الإصدار 5.6.6 أو أحدث الذي يعالج هذه الثغرة

2. اتباع وثائق الترقية الرسمية لـ Nagios

3. التحقق من سلامة التصحيح باستخدام المجاميع الاختبارية الرسمية قبل النشر

4. الاختبار في بيئة التدريج قبل النشر في الإنتاج

ضوابط التعويض (في حالة تأخر التصحيح):

1. تطبيق مراقبة سلامة الملفات (FIM) على check_plugin وجميع الملفات في /usr/local/nagios/libexec/

2. تطبيق سياسات SELinux أو AppArmor لتقييد صلاحيات عمليات Nagios

3. تفعيل المصادقة متعددة العوامل لجميع حسابات واجهة الويب الخاصة بـ Nagios XI

4. تقييد Nagios XI على حسابات للقراءة فقط حيثما أمكن

5. نشر قاعدة WAF للكشف عن طلبات POST المشبوهة وحجبها على نقاط نهاية تكوين Nagios XI

6. مراقبة محاولات تصعيد الصلاحيات باستخدام قواعد auditd التي تستهدف نشاط حساب خدمة nagios

قواعد الكشف:

1. تنبيه SIEM: مراقبة أحداث تعديل الملفات على /usr/local/nagios/libexec/check_plugin

2. قاعدة IDS: التنبيه على طلبات HTTP POST إلى نقاط نهاية /nagiosxi/config/ من مصادر غير متوقعة

3. قاعدة EDR: التنبيه على العمليات الفرعية التي تولدها عملية nagios بصلاحيات الجذر

4. مراقبة السجلات: التنبيه على أوامر sudo أو su المنفذة في سياق حساب خدمة nagios

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-4-2: Cybersecurity Vulnerability Management ECC-1-3-2: Cybersecurity Patch Management ECC-2-2-1: Access Control and Privilege Management ECC-2-3-1: System Hardening and Configuration Management ECC-1-5-1: Cybersecurity Monitoring and Logging

🔵 SAMA CSF

3.3.3 Vulnerability Management 3.3.5 Patch Management 3.2.2 Access Control Management 3.3.6 Security Monitoring and Logging 3.4.2 Incident Management

🟡 ISO 27001:2022

A.8.8 Management of Technical Vulnerabilities A.8.2 Privileged Access Rights A.8.9 Configuration Management A.8.16 Monitoring Activities A.5.24 Information Security Incident Management Planning

🟣 PCI DSS v4.0

Requirement 6.3.3: All system components are protected from known vulnerabilities Requirement 7.2: Access to system components is appropriately defined and assigned Requirement 10.2: Audit logs capture all individual user access to cardholder data Requirement 11.3: External and internal vulnerabilities are regularly identified

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Nagios:Nagios XI

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS88.59%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-03

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2019-15949

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب