Una vulnerabilità critica nel framework open source basato sul Web di Cacti per il monitoraggio delle prestazioni della rete offre agli aggressori un modo per divulgare l’intero contenuto del database di Cacti, presentando un rischio spinoso per le organizzazioni.
Migliaia di siti Web utilizzano Cacti per raccogliere informazioni sulle prestazioni di rete come quelle relative all'utilizzo della larghezza di banda, all'utilizzo della CPU e della memoria e all'I/O del disco, da dispositivi come router, switch e server. Le organizzazioni utilizzano i dati raccolti per popolare l'utilità Round Robin Database (RRDTool) in modo da poter creare metriche grafiche e visive da esso.
In quanto tale, copre l’intera impronta IT all’interno di un’organizzazione, offrendo preziose opportunità di ricognizione per gli aggressori informatici, nonché un punto cardine per approfondire la rete.
È importante sottolineare che un utente malintenzionato potrebbe anche concatenare CVE-2023-51448 con un'altra vulnerabilità Cacti precedentemente divulgata: CVE-2023-49084 —per ottenere l'esecuzione di codice in modalità remota (RCE) su sistemi vulnerabili.
CVE-2023-51448 in Cactus: Sanificazione insufficiente
La vulnerabilità, rilevata come CVE-2023-51448, è presente nella versione Cacti 1.2.25. I cactus ce l'hanno ha rilasciato una versione aggiornata del software che risolve il bug.
Il problema ha a che fare con l'app che non disinfetta adeguatamente i dati di input, lasciando così la strada aperta a ciò che è noto come a attacco SQL injection cieco. GitHub ha assegnato alla vulnerabilità un punteggio di gravità di 8.8 su un massimo di 10 possibili sulla scala CVSS 3.1 e lo ha descritto come un problema che richiede che un utente malintenzionato abbia solo privilegi bassi per poterlo sfruttare.
Matthew Hogg, un ricercatore di sicurezza di Synopsys che
scoperto la vulnerabilità e lo ha segnalato ai manutentori di Cacti il mese scorso, afferma che un utente malintenzionato avrebbe bisogno di un account autenticato con il privilegio "Regolazione/Utilità" per sfruttare la falla.
"Trovare sistemi che eseguono Cacti è banale, poiché un utente malintenzionato può utilizzare un servizio come Shodan per eseguire query sui sistemi attivi", afferma Hogg. "Un utente malintenzionato, utilizzando [Shodan], potrebbe automatizzare la ricognizione iniziale per trovare sistemi che eseguono versioni vulnerabili e concentrare le proprie attività."
Lunedì mattina, una ricerca Shodan ha elencato più di 4,000 host Cacti che eseguono versioni potenzialmente vulnerabili di Cacti, afferma.
Secondo Hogg, per attivare CVE-2023-51448, un utente malintenzionato autenticato con privilegi Impostazioni/Utility dovrebbe inviare una richiesta HTTP GET appositamente predisposta con un payload SQL injection all'endpoint "/managers.php".
"Utilizzando una tecnica SQL cieca, un utente malintenzionato può divulgare il contenuto del database Cacti o attivare l'esecuzione di codice remoto (RCE)", afferma Hogg.
SQL cieco significa attacchi di massa improbabili, ancora una questione spinosa
In un attacco SQL injection cieco, gli aggressori non vedono il risultato diretto di una query SQL iniettata. Devono invece provare a dedurlo in base a come l’applicazione potrebbe rispondere.
"Blind viene spesso utilizzato per descrivere l'SQL injection in cui i risultati non vengono restituiti direttamente all'aggressore ma vengono dedotti fuori banda utilizzando un oracolo", afferma Hogg riferendosi a fonti esterne di informazioni come messaggi di errore e ritardi temporali. “In questo caso è possibile utilizzare un oracolo basato sul tempo per verificare se alcune condizioni booleane sono soddisfatte. La differenza tra i tempi di risposta viene utilizzata per valutare se la condizione è stata soddisfatta, il che potrebbe, ad esempio, verificare il valore di un carattere che l'aggressore vuole divulgare."
Gli attacchi Blind SQL injection sono difficili da realizzare su scala di massa. Tuttavia, un utente malintenzionato con accesso a un account con i privilegi richiesti può sfruttare facilmente la vulnerabilità di Cacti, osserva Hogg. "Le blind SQL Injection sono facili da eseguire, ma difficili da sfruttare a causa della natura del vettore di attacco."
Tuttavia, riferendosi alla possibilità di concatenare la vulnerabilità con il bug sopra menzionato, il ricercatore di sicurezza afferma: "Un aggressore competente che soddisfa i prerequisiti per CVE-2023-49084 sarebbe in grado di eseguire CVE-2023-51448 in modo banale."
L'ultima vulnerabilità è una delle tante segnalate dai ricercatori in Cacti nell'ultimo anno. Uno dei più gravi tra questi è CVE-2022-46169, una vulnerabilità di command injection non autenticata rivelata lo scorso gennaio per la quale l'exploit è diventato pubblico pochi mesi dopo. Un altro lo è CVE-2023-39362, una vulnerabilità scoperta a giugno i cui exploit diventano pubblici a ottobre.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vulnerability
- :ha
- :È
- :non
- 000
- 1
- 10
- 25
- 7
- 8
- a
- capace
- accesso
- Il mio account
- Raggiungere
- attività
- indirizzi
- anche
- tra
- an
- ed
- Un altro
- App
- Applicazioni
- SONO
- AS
- addetto
- attacco
- attacchi
- autenticato
- automatizzare
- disponibile
- Larghezza di banda
- basato
- BE
- diventare
- fra
- Insetto
- ma
- by
- Materiale
- Custodie
- catena
- carattere
- dai un'occhiata
- verifica
- codice
- raccogliere
- competente
- condizione
- testuali
- potuto
- artigianale
- creare
- critico
- dati
- Banca Dati
- più profondo
- ritardi
- descrivere
- descritta
- dispositivi
- difficile
- dirette
- direttamente
- Rilevare
- do
- dovuto
- alleviare
- facile
- endpoint
- Intero
- errore
- valutare
- esempio
- eseguire
- esecuzione
- Sfruttare
- gesta
- esterno
- pochi
- Trovate
- ricerca
- difetto
- Focus
- Orma
- Nel
- Contesto
- da
- ottenere
- GitHub
- dà
- Go
- Grafico
- Hard
- Avere
- he
- padroni di casa
- Come
- Tuttavia
- HTML
- http
- HTTPS
- if
- in
- informazioni
- inizialmente
- ingresso
- invece
- ai miglioramenti
- inestimabile
- problema
- IT
- Gennaio
- jpg
- giugno
- conosciuto
- Cognome
- dopo
- con i più recenti
- perdita
- partenza
- piace
- elencati
- vivere
- Basso
- maligno
- modo
- Massa
- massimo
- si intende
- Memorie
- messaggi
- di cartone
- Metrica
- forza
- Lunedì
- monitoraggio
- Mese
- mese
- Scopri di più
- Mattina
- Natura
- Bisogno
- Rete
- nista
- Note
- ottobre
- of
- MENO
- offerta
- di frequente
- on
- ONE
- esclusivamente
- aprire
- open source
- Opportunità
- or
- oracolo
- organizzazione
- organizzazioni
- su
- ancora
- passato
- sentiero
- performance
- PHP
- Perno
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- possibile
- potenziale
- potenzialmente
- prerequisiti
- presenti
- in precedenza
- privilegio
- privilegi
- propriamente
- pubblicamente
- valutazione
- raggiungere
- relazionato
- a distanza
- Segnalati
- richiesta
- necessario
- richiede
- ricercatore
- ricercatori
- Rispondere
- risposta
- colpevole
- Risultati
- Rischio
- pettirosso
- tondo
- running
- s
- dice
- Scala
- Cerca
- problemi di
- vedere
- inviare
- grave
- Server
- servizio
- alcuni
- So
- Software
- alcuni
- Fonte
- fonti
- appositamente
- Ancora
- tale
- SISTEMI DI TRATTAMENTO
- per l'esame
- di
- che
- Il
- loro
- Li
- in tal modo
- di
- questo
- volte
- sincronizzazione
- a
- innescare
- prova
- improbabile
- aggiornato
- Impiego
- uso
- utilizzato
- utilizzando
- utilità
- APPREZZIAMO
- versione
- versioni
- visivo
- vulnerabilità
- Vulnerabile
- vuole
- Prima
- Modo..
- Web-basata
- siti web
- WELL
- Che
- Che cosa è l'
- quale
- OMS
- con
- entro
- sarebbe
- anno
- zefiro