নেটওয়ার্ক কর্মক্ষমতা নিরীক্ষণের জন্য Cacti ওয়েব-ভিত্তিক ওপেন সোর্স ফ্রেমওয়ার্কের একটি গুরুতর দুর্বলতা আক্রমণকারীদের Cacti-এর সম্পূর্ণ ডাটাবেস বিষয়বস্তু প্রকাশ করার একটি উপায় দেয় — সংস্থাগুলির জন্য একটি কাঁটাযুক্ত ঝুঁকি উপস্থাপন করে।
রাউটার, সুইচ এবং সার্ভারের মতো ডিভাইসগুলি থেকে ব্যান্ডউইথ ব্যবহার, সিপিইউ এবং মেমরি ব্যবহার, এবং ডিস্ক I/O - সম্পর্কিত নেটওয়ার্ক কর্মক্ষমতা তথ্য সংগ্রহ করতে হাজার হাজার ওয়েবসাইট ক্যাক্টি ব্যবহার করে। সংস্থাগুলি রাউন্ড রবিন ডেটাবেস ইউটিলিটি (RRDTool) তৈরি করতে সংগৃহীত ডেটা ব্যবহার করে যাতে তারা এটি থেকে গ্রাফিক এবং ভিজ্যুয়াল মেট্রিক্স তৈরি করতে পারে।
এইভাবে, এটি একটি সংস্থার মধ্যে সমগ্র আইটি পদচিহ্নে পৌঁছেছে — সাইবার আক্রমণকারীদের জন্য অমূল্য পুনরুদ্ধার করার সুযোগ প্রদান করে, সেইসাথে নেটওয়ার্কের আরও গভীরে যাওয়ার জন্য একটি পিভট পয়েন্ট।
গুরুত্বপূর্ণভাবে, একজন আক্রমণকারী অন্য CVE-2023-51448 এর সাথে চেইন করতে পারে, পূর্বে প্রকাশ করা ক্যাকটি দুর্বলতা — জন্য CVE-2023-49084 — দুর্বল সিস্টেমে রিমোট কোড এক্সিকিউশন (RCE) অর্জন করতে।
CVE-2023-51448 ক্যাকটিতে: অপর্যাপ্ত স্যানিটাইজেশন
দুর্বলতা, হিসাবে ট্র্যাক জন্য CVE-2023-51448, Cacti সংস্করণ 1.2.25 এ উপস্থিত। ক্যাকটি আছে একটি আপডেট সংস্করণ প্রকাশ করেছে সফ্টওয়্যার যে বাগ ঠিকানা.
অ্যাপটি সঠিকভাবে ইনপুট ডেটা স্যানিটাইজ না করার সাথে সমস্যাটির সম্পর্ক রয়েছে, যার ফলে যা একটি হিসাবে পরিচিত তার জন্য পথ খোলা রেখে দেয় অন্ধ এসকিউএল ইনজেকশন আক্রমণ. গিটহাব সিভিএসএস 8.8 স্কেলে সর্বাধিক সম্ভাব্য 10টির মধ্যে 3.1 এর একটি তীব্রতা রেটিং নির্ধারণ করেছে এবং এটিকে এমন একটি সমস্যা হিসাবে বর্ণনা করেছে যার জন্য আক্রমণকারীর শুধুমাত্র কম সুযোগ-সুবিধা থাকা প্রয়োজন।
ম্যাথিউ হগ, সিনোপসিসের একজন নিরাপত্তা গবেষক যিনি
দুর্বলতা আবিষ্কার করেছে এবং গত মাসে Cacti এর রক্ষণাবেক্ষণকারীদের কাছে এটি রিপোর্ট করেছে, বলেছেন যে একজন আক্রমণকারীর ত্রুটিটি কাজে লাগানোর জন্য "সেটেলিং/ইউটিলিটিস" সুবিধা সহ একটি প্রমাণীকৃত অ্যাকাউন্টের প্রয়োজন হবে।
"ক্যাক্টি চালিত সিস্টেমগুলি খুঁজে পাওয়া তুচ্ছ, কারণ একজন দূষিত অভিনেতা লাইভ সিস্টেমের জন্য অনুসন্ধান করার জন্য শোদানের মতো একটি পরিষেবা ব্যবহার করতে পারেন," হগ বলেছেন৷ "একজন দূষিত অভিনেতা, [শোদান] ব্যবহার করে, তাদের ক্রিয়াকলাপকে ফোকাস করার জন্য দুর্বল সংস্করণ চালিত সিস্টেমগুলি খুঁজে পেতে তাদের প্রাথমিক পুনরুদ্ধার স্বয়ংক্রিয় করতে পারে।"
সোমবার সকাল পর্যন্ত, একটি শোডান অনুসন্ধানে 4,000 টিরও বেশি ক্যাকটি হোস্ট তালিকাভুক্ত করা হয়েছে যেগুলি সম্ভাব্যভাবে ক্যাকটির দুর্বল সংস্করণগুলি চালাচ্ছে, তিনি বলেছেন।
Hogg এর মতে, CVE-2023-51448 ট্রিগার করতে, সেটিংস/ইউটিলিটি সুবিধা সহ একজন প্রমাণীকৃত আক্রমণকারীকে শেষ পয়েন্ট '/managers.php'-এ একটি SQL ইনজেকশন পেলোড সহ একটি বিশেষভাবে তৈরি করা HTTP GET অনুরোধ পাঠাতে হবে।
"একটি অন্ধ এসকিউএল কৌশল ব্যবহার করে, একজন আক্রমণকারী ক্যাক্টি ডাটাবেসের বিষয়বস্তু প্রকাশ করতে পারে বা রিমোট কোড এক্সিকিউশন (RCE) ট্রিগার করতে পারে," হগ বলেছেন।
ব্লাইন্ড এসকিউএল মানে গণ আক্রমণ অসম্ভাব্য, এখনও একটি কাঁটাযুক্ত সমস্যা
একটি অন্ধ এসকিউএল ইনজেকশন আক্রমণে, আক্রমণকারীরা ইনজেকশন করা এসকিউএল কোয়েরির সরাসরি ফলাফল দেখতে পায় না। পরিবর্তে, অ্যাপ্লিকেশনটি কীভাবে প্রতিক্রিয়া জানাতে পারে তার উপর ভিত্তি করে তাদের এটি চেষ্টা করে অনুমান করতে হবে।
"অন্ধ প্রায়ই এসকিউএল ইনজেকশন বর্ণনা করতে ব্যবহৃত হয় যেখানে ফলাফল সরাসরি আক্রমণকারীর কাছে ফিরে আসে না কিন্তু একটি ওরাকল ব্যবহার করে ব্যান্ডের বাইরে অনুমান করা হয়," হগ ত্রুটি বার্তা এবং সময় বিলম্বের মতো তথ্যের বাহ্যিক উত্স উল্লেখ করে বলেছেন। “এই ক্ষেত্রে কিছু বুলিয়ান শর্ত পূরণ হয়েছে কিনা তা পরীক্ষা করতে একটি সময়-ভিত্তিক ওরাকল ব্যবহার করা যেতে পারে। প্রতিক্রিয়ার সময়ের মধ্যে পার্থক্যটি শর্ত পূরণ করা হয়েছে কিনা তা মূল্যায়ন করতে ব্যবহৃত হয়, যা উদাহরণস্বরূপ, আক্রমণকারী ফাঁস করতে চায় এমন একটি চরিত্রের মান পরীক্ষা করা হতে পারে।"
অন্ধ এসকিউএল ইনজেকশন আক্রমণ একটি ভর স্কেলে বন্ধ টান কঠিন. যাইহোক, প্রয়োজনীয় সুযোগ-সুবিধা সহ একটি অ্যাকাউন্টে অ্যাক্সেস সহ একজন আক্রমণকারী সহজেই ক্যাক্টির দুর্বলতাকে কাজে লাগাতে পারে, হগ নোট করে। "ব্লাইন্ড এসকিউএল ইনজেকশনগুলি কার্যকর করা সহজ, কিন্তু আক্রমণ ভেক্টরের প্রকৃতির কারণে শোষণ করা কঠিন।"
যাইহোক, উপরে উল্লিখিত বাগ দিয়ে দুর্বলতাকে চেইন করার সম্ভাবনার কথা উল্লেখ করে, নিরাপত্তা গবেষক বলেছেন: "একজন যোগ্য আক্রমণকারী যে CVE-2023-49084-এর পূর্বশর্তগুলি সন্তুষ্ট করে সে একটি তুচ্ছ পদ্ধতিতে CVE-2023-51448 কার্যকর করতে সক্ষম হবে।"
সাম্প্রতিক দুর্বলতা হল গবেষকরা গত এক বছরে Cacti-তে যে কয়েকটি রিপোর্ট করেছেন তার মধ্যে একটি। তাদের মধ্যে আরও গুরুতর একজন CVE-2022-46169, একটি অননুমোদিত কমান্ড ইনজেকশন দুর্বলতা গত জানুয়ারিতে প্রকাশ করা হয়েছিল যার জন্য শোষণ কয়েক মাস পরে সর্বজনীনভাবে উপলব্ধ হয়। আরেকটি হল জন্য CVE-2023-39362, জুন মাসে প্রকাশিত একটি দুর্বলতা যার জন্য শোষণগুলি অক্টোবরে সর্বজনীনভাবে উপলব্ধ হয়৷
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vulnerability
- : আছে
- : হয়
- :না
- 000
- 1
- 10
- 25
- 7
- 8
- a
- সক্ষম
- প্রবেশ
- হিসাব
- অর্জন করা
- ক্রিয়াকলাপ
- ঠিকানাগুলি
- এছাড়াও
- মধ্যে
- an
- এবং
- অন্য
- অ্যাপ্লিকেশন
- আবেদন
- রয়েছি
- AS
- নির্ধারিত
- আক্রমণ
- আক্রমন
- অনুমোদিত
- স্বয়ংক্রিয় পদ্ধতি প্রয়োগ করা
- সহজলভ্য
- ব্যান্ডউইথ
- ভিত্তি
- BE
- পরিণত
- মধ্যে
- নম
- কিন্তু
- by
- CAN
- কেস
- চেন
- চরিত্র
- চেক
- পরীক্ষণ
- কোড
- সংগ্রহ করা
- উপযুক্ত
- শর্ত
- সুখী
- পারা
- পেরেছিলেন
- সৃষ্টি
- সংকটপূর্ণ
- উপাত্ত
- ডেটাবেস
- গভীর
- বিলম্ব
- বর্ণনা করা
- বর্ণিত
- ডিভাইস
- কঠিন
- সরাসরি
- সরাসরি
- প্রকাশ করা
- do
- কারণে
- আরাম
- সহজ
- শেষপ্রান্ত
- সমগ্র
- ভুল
- মূল্যায়ন
- উদাহরণ
- এক্সিকিউট
- ফাঁসি
- কাজে লাগান
- কীর্তিকলাপ
- বহিরাগত
- কয়েক
- আবিষ্কার
- আবিষ্কার
- ত্রুটি
- কেন্দ্রবিন্দু
- পদাঙ্ক
- জন্য
- ফ্রেমওয়ার্ক
- থেকে
- পাওয়া
- GitHub
- দেয়
- Go
- গ্রাফিক
- কঠিন
- আছে
- he
- হোস্ট
- কিভাবে
- যাহোক
- এইচটিএমএল
- HTTP
- HTTPS দ্বারা
- if
- in
- তথ্য
- প্রারম্ভিক
- ইনপুট
- পরিবর্তে
- মধ্যে
- অমুল্য
- সমস্যা
- IT
- জানুয়ারী
- JPG
- জুন
- পরিচিত
- গত
- পরে
- সর্বশেষ
- ফুটো
- ছোড়
- মত
- তালিকাভুক্ত
- জীবিত
- কম
- বিদ্বেষপরায়ণ
- পদ্ধতি
- ভর
- সর্বাধিক
- মানে
- স্মৃতি
- বার্তা
- মিলিত
- ছন্দোবিজ্ঞান
- হতে পারে
- সোমবার
- পর্যবেক্ষণ
- মাস
- মাসের
- অধিক
- সকাল
- প্রকৃতি
- প্রয়োজন
- নেটওয়ার্ক
- nst
- নোট
- অক্টোবর
- of
- বন্ধ
- নৈবেদ্য
- প্রায়ই
- on
- ONE
- কেবল
- খোলা
- ওপেন সোর্স
- সুযোগ
- or
- আকাশবাণী
- সংগঠন
- সংগঠন
- বাইরে
- শেষ
- গত
- পথ
- কর্মক্ষমতা
- পিএইচপি
- পিভট
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিন্দু
- সম্ভব
- সম্ভাব্য
- সম্ভাব্য
- পূর্বশর্ত
- বর্তমান
- পূর্বে
- সুবিধা
- বিশেষাধিকার
- সঠিকভাবে
- প্রকাশ্যে
- নির্ধারণ
- নাগাল
- সংশ্লিষ্ট
- দূরবর্তী
- রিপোর্ট
- অনুরোধ
- প্রয়োজনীয়
- প্রয়োজন
- গবেষক
- গবেষকরা
- প্রতিক্রিয়া
- প্রতিক্রিয়া
- ফল
- ফলাফল
- ঝুঁকি
- পক্ষীবিশেষ
- বৃত্তাকার
- দৌড়
- s
- বলেছেন
- স্কেল
- সার্চ
- নিরাপত্তা
- দেখ
- পাঠান
- গম্ভীর
- সার্ভারের
- সেবা
- বিভিন্ন
- So
- সফটওয়্যার
- কিছু
- উৎস
- সোর্স
- বিশেষত
- এখনো
- এমন
- সিস্টেম
- প্রযুক্তি
- চেয়ে
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- যার ফলে
- তারা
- এই
- বার
- সময়জ্ঞান
- থেকে
- টুল
- ট্রিগার
- চেষ্টা
- অসম্ভাব্য
- আপডেট
- ব্যবহার
- ব্যবহার
- ব্যবহৃত
- ব্যবহার
- উপযোগ
- মূল্য
- সংস্করণ
- সংস্করণ
- চাক্ষুষ
- দুর্বলতা
- জেয়
- চায়
- ছিল
- উপায়..
- ওয়েব ভিত্তিক
- ওয়েবসাইট
- আমরা একটি
- কি
- যে
- হু
- সঙ্গে
- মধ্যে
- would
- বছর
- zephyrnet