En kritisk sårbarhed i Cacti webbaserede open source-ramme til overvågning af netværksydelse giver angribere en måde at afsløre hele Cactis databaseindhold - hvilket udgør en stikkende risiko for organisationer.
Tusindvis af websteder bruger Cacti til at indsamle oplysninger om netværkets ydeevne såsom dem, der er relateret til båndbreddeudnyttelse, CPU- og hukommelsesforbrug og disk I/O - fra enheder såsom routere, switches og servere. Organisationer bruger de indsamlede data til at udfylde Round Robin Database-værktøjet (RRDTool), så de kan skabe grafiske og visuelle metrics ud fra det.
Som sådan har den nået ind i hele it-fodaftrykket i en organisation - og tilbyder uvurderlige rekognosceringsmuligheder for cyberangribere, såvel som et omdrejningspunkt for at gå dybere ind i netværket.
Det er vigtigt, at en angriber også kan kæde CVE-2023-51448 med en anden tidligere afsløret Cacti-sårbarhed - CVE-2023-49084 —at opnå fjernudførelse af kode (RCE) på sårbare systemer.
CVE-2023-51448 i kaktusser: Utilstrækkelig rensning
Sårbarheden, spores som CVE-2023-51448, findes i Cacti version 1.2.25. Det har kaktusser udgivet en opdateret version af softwaren, der adresserer fejlen.
Problemet har at gøre med, at appen ikke korrekt renser inputdata, og derved efterlader stien åben for det, der er kendt som en blindt SQL-injektionsangreb. GitHub har tildelt sårbarheden en alvorlighedsgrad på 8.8 ud af maksimalt mulige 10 på CVSS 3.1-skalaen og beskrevet det som et problem, der kræver, at en angriber kun har lave privilegier for at udnytte.
Matthew Hogg, en sikkerhedsforsker fra Synopsys, der
opdagede sårbarheden og rapporterede det til vedligeholderne af Cacti i sidste måned, siger, at en angriber ville have brug for en autentificeret konto med "Settling/Utilities"-privilegiet for at udnytte fejlen.
"Det er trivielt at finde systemer, der kører Cacti, da en ondsindet aktør kan bruge en tjeneste som Shodan til at søge efter live-systemer," siger Hogg. "En ondsindet skuespiller, der bruger [Shodan], kunne automatisere deres indledende rekognoscering for at finde systemer, der kører sårbare versioner for at fokusere deres aktiviteter."
Fra mandag morgen listede en Shodan-søgning mere end 4,000 Cacti-værter, der potentielt kører sårbare versioner af Cacti, siger han.
Ifølge Hogg, for at udløse CVE-2023-51448, skal en autentificeret angriber med Settings/Utilities-rettigheder sende en specielt udformet HTTP GET-anmodning med en SQL-injektionsnyttelast til slutpunktet '/managers.php'.
"Ved at bruge en blind SQL-teknik kan en angriber afsløre Cacti-databaseindhold eller udløse fjernudførelse af kode (RCE)," siger Hogg.
Blind SQL betyder masseangreb usandsynligt, stadig et tornet problem
I et blindt SQL-injektionsangreb kan angriberne ikke se det direkte resultat af en indsprøjtet SQL-forespørgsel. I stedet skal de prøve at udlede det baseret på, hvordan applikationen kan reagere.
"Blind bruges ofte til at beskrive SQL-injektion, hvor resultaterne ikke returneres direkte til angriberen, men udledes uden for båndet ved hjælp af et orakel," siger Hogg med henvisning til eksterne informationskilder såsom fejlmeddelelser og tidsforsinkelser. "I dette tilfælde kan et tidsbaseret orakel bruges til at kontrollere, om en boolsk betingelse er opfyldt. Forskellen mellem responstider bruges til at evaluere, om betingelsen var opfyldt, hvilket for eksempel kunne være at tjekke værdien af en karakter, som angriberen ønsker at lække."
Blinde SQL-injektionsangreb er svære at udføre på en masseskala. En angriber med adgang til en konto med de nødvendige rettigheder kan dog nemt udnytte sårbarheden i Cacti, bemærker Hogg. "Blind SQL-injektioner er nemme at udføre, men svære at udnytte på grund af angrebsvektorens natur."
Men med henvisning til potentialet for at kæde sårbarheden sammen med den førnævnte fejl, siger sikkerhedsforskeren: "En kompetent angriber, der opfylder forudsætningerne for CVE-2023-49084, ville være i stand til at eksekvere CVE-2023-51448 på en triviel måde."
Den seneste sårbarhed er en af de flere, som forskere har rapporteret i Cacti i løbet af det seneste år. En af de mere seriøse blandt dem er CVE-2022-46169, en uautoriseret kommandoindsprøjtningssårbarhed, der blev afsløret i januar sidste år, og som udnyttelse blev offentligt tilgængelig et par måneder senere. En anden er CVE-2023-39362, en sårbarhed, der blev afsløret i juni, hvor udnyttelser bliver offentligt tilgængelige i oktober.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vulnerability
- :har
- :er
- :ikke
- 000
- 1
- 10
- 25
- 7
- 8
- a
- I stand
- adgang
- Konto
- opnå
- aktiviteter
- adresser
- også
- blandt
- an
- ,
- En anden
- app
- Anvendelse
- ER
- AS
- tildelt
- angribe
- Angreb
- autentificeret
- automatisere
- til rådighed
- båndbredde
- baseret
- BE
- bliver
- mellem
- Bug
- men
- by
- CAN
- tilfælde
- kæde
- karakter
- kontrollere
- kontrol
- kode
- indsamler
- kompetent
- betingelse
- indhold
- kunne
- udformet
- skabe
- kritisk
- data
- Database
- dybere
- forsinkelser
- beskrive
- beskrevet
- Enheder
- svært
- direkte
- direkte
- offentliggøre
- do
- grund
- lette
- let
- Endpoint
- Hele
- fejl
- evaluere
- eksempel
- udføre
- udførelse
- Exploit
- exploits
- ekstern
- få
- Finde
- finde
- fejl
- Fokus
- Fodspor
- Til
- Framework
- fra
- få
- GitHub
- giver
- Go
- Grafisk
- Hård Ost
- Have
- he
- værter
- Hvordan
- Men
- HTML
- http
- HTTPS
- if
- in
- oplysninger
- initial
- indgang
- i stedet
- ind
- uvurderlig
- spørgsmål
- IT
- januar
- jpg
- juni
- kendt
- Efternavn
- senere
- seneste
- lække
- forlader
- ligesom
- Børsnoterede
- leve
- Lav
- ondsindet
- måde
- Masse
- maksimal
- midler
- Hukommelse
- beskeder
- mødte
- Metrics
- måske
- Mandag
- overvågning
- Måned
- måned
- mere
- Morgen
- Natur
- Behov
- netværk
- NIST
- Noter
- oktober
- of
- off
- tilbyde
- tit
- on
- ONE
- kun
- åbent
- open source
- Muligheder
- or
- oracle
- organisation
- organisationer
- ud
- i løbet af
- forbi
- sti
- ydeevne
- PHP
- Pivot
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- mulig
- potentiale
- potentielt
- forudsætninger
- præsentere
- tidligere
- privilegium
- privilegier
- korrekt
- offentligt
- bedømmelse
- nå
- relaterede
- fjern
- rapporteret
- anmode
- påkrævet
- Kræver
- forsker
- forskere
- Svar
- svar
- resultere
- Resultater
- Risiko
- Robin
- rundt
- kører
- s
- siger
- Scale
- Søg
- sikkerhed
- se
- send
- alvorlig
- Servere
- tjeneste
- flere
- So
- Software
- nogle
- Kilde
- Kilder
- specielt
- Stadig
- sådan
- Systemer
- teknik
- end
- at
- deres
- Them
- derved
- de
- denne
- gange
- timing
- til
- værktøj
- udløse
- prøv
- usandsynligt
- opdateret
- Brug
- brug
- anvendte
- ved brug af
- nytte
- værdi
- udgave
- versioner
- visuel
- sårbarhed
- Sårbar
- ønsker
- var
- Vej..
- web-baseret
- websites
- GODT
- Hvad
- Hvad er
- som
- WHO
- med
- inden for
- ville
- år
- zephyrnet