Thruk 监控 XSS 漏洞 CVE-2022-23961 允许攻击者劫持

执行摘要

Thruk Monitoring中发现的反射型跨站脚本（XSS）漏洞，被标识为CVE-2022-23961，CVSS得分为6.1，允许未经身份验证的远程攻击者将任意JavaScript注入登录页面。这个漏洞影响所有版本的Thruk，包括2.46.3版本，Thruk是一个广泛使用的基于Web的界面，用于Nagios和其他监控系统。根据德国安全公司usd AG发布的咨询报告，漏洞存在于身份验证表单的登录字段中，用户输入在服务器响应中反射之前没有得到适当的清理。攻击者可以制作一个恶意链接，当经过身份验证的管理员点击时，会在Thruk会话的上下文中执行JavaScript，可能导致会话劫持、凭证盗窃或进一步破坏监控基础设施。

技术分析

该漏洞存在于Thruk Monitoring版本2.46.3及之前的版本中。登录字段接受用户输入，并直接将其反射到HTML响应中，而没有进行充分的编码或清理。这使得反射XSS攻击成为可能：未经身份验证的攻击者可以制作一个包含恶意负载的URL，并通过登录参数诱使受害者（通常是管理员或操作员）点击。当受害者的浏览器渲染登录页面时，注入的脚本在与Thruk应用程序相同的源上执行，允许它访问会话cookie、本地存储，并代表经过身份验证的用户执行操作。

usd AG（HeRoLab）的咨询报告没有提供概念验证代码，但确认攻击向量是远程的，不需要身份验证，并针对登录表单的输入字段。CVSS 6.1得分反映了中等严重性，这是由于需要用户交互（受害者必须点击链接）和基于网络的攻击向量。然而，由于Thruk在集中监控中的作用，影响被提升：一个被破坏的Thruk会话可能会暴露敏感的基础设施数据，包括主机配置、服务状态以及存储在监控插件中的凭证。

Thruk是一个基于Perl的应用程序，为Nagios、Icinga、Shinken和其他监控后端提供统一的Web界面。它通常被部署在企业环境和管理服务提供商（MSP）中，以聚合警报和仪表板。登录字段漏洞特别令人关注，因为它可以在没有任何先前系统访问的情况下被利用，并且反射脚本以点击链接的经过身份验证的用户权限运行。

缓解措施与建议

Thruk Monitoring的用户应该升级到2.46.4或更高版本，其中包含了CVE-2022-23961的修复。Thruk项目已经发布了修补版本，这些版本在登录表单中正确地编码了用户输入。对于无法立即升级的组织，管理员应该实施Web应用程序防火墙（WAF）规则，以阻止登录参数中反射的XSS负载，强制执行Thruk界面上的严格内容安全策略（CSP）头，并教育用户不要点击未经请求的链接的风险。此外，监控日志中不寻常的登录URL模式——特别是包含脚本标签或编码JavaScript的——可以帮助检测利用尝试。鉴于监控仪表板的敏感性，将Thruk界面隔离在VPN或堡垒主机后面可以减少外部攻击者的暴露。