关键漏洞信息 概述 漏洞类型: 2FA绕过使用暴力攻击 受影响版本: Nagios Fusion (2024R1.2 和 2024R2) 问题描述: - 缺乏速率限制:2FA端点不限制OTP提交尝试次数。 - 弱锁定策略:重复失败的OTP尝试后不会触发账户锁定。 - 潜在未经授权访问:攻击者可通过暴力猜测OTP绕过2FA。 严重性 严重程度: 高 CVE编号: CWE-307(主要)、CWE-287(次要) CVSS评分: 7.6(高) CVSS向量: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L 受影响组件 2FA验证端点(例如,/verify-otp) 身份验证中间件 会话签发服务 速率限制/反自动化控制 受影响厂商/产品 产品名称: Nagios Fusion 受影响版本: 2024R1.2 和 2024R2 修复版本: 2024R2.1 问题总结 用户尝试使用有效用户名和密码登录。 系统提示从身份验证应用/SMS/电子邮件获取OTP。 攻击者脚本自动请求到/verify-otp端点。 由于缺乏速率限制和锁定,攻击者可以无限次猜测。 在可行的时间内,攻击者预测正确的OTP并绕过2FA。 安全态势差距 2FA旨在增加熵并减少暴力破解的可能性。没有适当的反自动化控制,OTP变得可暴力破解,削弱了第二因素。 滥用场景 自动化凭证填充+暴力破解OTP以实现大规模账户接管。 针对高价值账户的定向攻击,其中密码被钓鱼或泄露。 缓解建议 强制严格按账户/IP/设备对OTP尝试进行速率限制。 OTP尝试失败N次后锁定账户并要求重新认证。 引入指数退避延迟以应对重复失败。 披露时间线 2025年5月1日:发现漏洞 2025年5月1日:报告给厂商 2025年10月10日:厂商确认漏洞 2025年7月23日:厂商发布新版本修复漏洞 2025年8月16日:申请CVE 2025年10月23日:分配CVE