Een kritieke kwetsbaarheid in het Cacti Web-gebaseerde open source-framework voor het monitoren van netwerkprestaties geeft aanvallers een manier om de volledige database-inhoud van Cacti openbaar te maken โ wat een netelig risico voor organisaties met zich meebrengt.
Duizenden websites gebruiken Cacti om informatie over netwerkprestaties te verzamelen, zoals informatie over bandbreedtegebruik, CPU- en geheugengebruik en schijf-I/O - van apparaten zoals routers, switches en servers. Organisaties gebruiken de verzamelde gegevens om het Round Robin Database-hulpprogramma (RRDTool) in te vullen, zodat ze er grafische en visuele statistieken van kunnen maken.
Als zodanig heeft het bereik in de gehele IT-voetafdruk binnen een organisatie en biedt het onschatbare verkenningsmogelijkheden voor cyberaanvallers, evenals een scharnierpunt om dieper in het netwerk door te dringen.
Belangrijk is dat een aanvaller CVE-2023-51448 ook kan koppelen aan een andere, eerder onthulde Cacti-kwetsbaarheid: CVE-2023-49084 โom externe code-uitvoering (RCE) op kwetsbare systemen te realiseren.
CVE-2023-51448 in Cactussen: onvoldoende ontsmetting
De kwetsbaarheid, bijgehouden als CVE-2023-51448, is aanwezig in Cacti versie 1.2.25. Cactussen hebben een bijgewerkte versie uitgebracht van de software die de bug verhelpt.
Het probleem heeft te maken met het feit dat de app de invoergegevens niet goed opschoont, waardoor het pad open blijft voor wat bekend staat als een blinde SQL-injectie-aanval. GitHub heeft de kwetsbaarheid een ernstbeoordeling van 8.8 van de maximaal mogelijke 10 op de CVSS 3.1-schaal toegekend en het beschreven als een probleem waarvoor een aanvaller slechts weinig rechten hoeft te hebben om te kunnen misbruiken.
Matthew Hogg, een beveiligingsonderzoeker van Synopsys die
ontdekte de kwetsbaarheid en meldde het vorige maand aan de beheerders van Cacti, zegt dat een aanvaller een geverifieerd account nodig heeft met het privilege "Settling/Utilities" om de fout te kunnen misbruiken.
โHet vinden van systemen waarop Cacti draait is triviaal, omdat een kwaadwillende actor een dienst als Shodan kan gebruiken om naar live systemen te zoekenโ, zegt Hogg. โEen kwaadwillende actor zou met behulp van [Shodan] hun eerste verkenning kunnen automatiseren om systemen te vinden waarop kwetsbare versies draaien om hun activiteiten te concentreren.โ
Maandagochtend heeft een Shodan-zoekopdracht meer dan 4,000 Cacti-hosts opgesomd die mogelijk kwetsbare versies van Cacti draaien, zegt hij.
Volgens Hogg zou een geverifieerde aanvaller met instellingen-/hulpprogramma's-privileges, om CVE-2023-51448 te activeren, een speciaal vervaardigd HTTP GET-verzoek met een SQL-injectie-payload naar het eindpunt โ/managers.phpโ moeten sturen.
โMet behulp van een blinde SQL-techniek kan een aanvaller de inhoud van de Cacti-database vrijgeven of externe code-uitvoering (RCE) activerenโ, zegt Hogg.
Blinde SQL betekent massale aanvallen onwaarschijnlijk, maar nog steeds een netelig probleem
Bij een blinde SQL-injectieaanval zien de aanvallers niet het directe resultaat van een geรฏnjecteerde SQL-query. In plaats daarvan moeten ze proberen het af te leiden op basis van hoe de applicatie zou kunnen reageren.
โBlind wordt vaak gebruikt om SQL-injectie te beschrijven, waarbij de resultaten niet rechtstreeks naar de aanvaller worden teruggestuurd, maar out-of-band worden afgeleid met behulp van een orakelโ, zegt Hogg, verwijzend naar externe informatiebronnen zoals foutmeldingen en timingvertragingen. โIn dit geval kan een op tijd gebaseerd orakel worden gebruikt om te controleren of aan een of andere Booleaanse voorwaarde is voldaan. Het verschil tussen responstijden wordt gebruikt om te evalueren of aan de voorwaarde is voldaan, bijvoorbeeld door de waarde te controleren van een personage dat de aanvaller wil lekken.โ
Blinde SQL-injectieaanvallen zijn moeilijk op grote schaal uit te voeren. Een aanvaller met toegang tot een account met de vereiste rechten kan echter gemakkelijk misbruik maken van de kwetsbaarheid in Cacti, merkt Hogg op. โBlinde SQL-injecties zijn eenvoudig uit te voeren, maar moeilijk te exploiteren vanwege de aard van de aanvalsvector.โ
Verwijzend naar het potentieel om de kwetsbaarheid te koppelen aan de bovengenoemde bug, zegt de beveiligingsonderzoeker echter: โEen competente aanvaller die voldoet aan de vereisten voor CVE-2023-49084 zou CVE-2023-51448 op een triviale manier kunnen uitvoeren.โ
De nieuwste kwetsbaarheid is een van de vele die onderzoekers het afgelopen jaar in Cacti hebben gemeld. Een van de ernstigste onder hen is CVE-2022-46169, een niet-geverifieerde kwetsbaarheid voor commando-injectie die afgelopen januari werd onthuld en waarvan de exploit een paar maanden later publiekelijk beschikbaar werd. Een ander wel CVE-2023-39362, een kwetsbaarheid die in juni werd onthuld en waarvoor exploits in oktober publiekelijk beschikbaar worden.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vulnerability
- : heeft
- :is
- :niet
- 000
- 1
- 10
- 25
- 7
- 8
- a
- in staat
- toegang
- Account
- Bereiken
- activiteiten
- adressen
- ook
- onder
- an
- en
- Nog een
- gebruiken
- Aanvraag
- ZIJN
- AS
- toegewezen
- aanvallen
- Aanvallen
- geverifieerd
- automatiseren
- Beschikbaar
- bandbreedte
- gebaseerde
- BE
- worden
- tussen
- Bug
- maar
- by
- CAN
- geval
- keten
- karakter
- controle
- controleren
- code
- verzamelen
- competent
- voorwaarde
- inhoud
- kon
- bewerkte
- en je merk te creรซren
- kritisch
- gegevens
- Database
- diepere
- vertragingen
- beschrijven
- beschreven
- systemen
- moeilijk
- directe
- direct
- Openbaren
- do
- twee
- gemak
- En het is heel gemakkelijk
- Endpoint
- Geheel
- fout
- schatten
- voorbeeld
- uitvoeren
- uitvoering
- Exploiteren
- exploits
- extern
- weinig
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- het vinden van
- fout
- Focus
- Footprint
- Voor
- Achtergrond
- oppompen van
- krijgen
- GitHub
- geeft
- Go
- Grafisch
- Hard
- Hebben
- he
- hosts
- Hoe
- Echter
- HTML
- http
- HTTPS
- if
- in
- informatie
- eerste
- invoer
- verkrijgen in plaats daarvan
- in
- onschatbaar
- kwestie
- IT
- Januari
- jpg
- juni
- bekend
- Achternaam*
- later
- laatste
- lekken
- verlaten
- als
- opgesomd
- leven
- Laag
- kwaadaardig
- manier
- Massa
- maximaal
- middel
- Geheugen
- berichten
- voldaan
- Metriek
- macht
- maandag
- Grensverkeer
- Maand
- maanden
- meer
- Ochtend
- NATUUR
- Noodzaak
- netwerk
- NIST
- Opmerkingen
- oktober
- of
- korting
- het aanbieden van
- vaak
- on
- EEN
- Slechts
- open
- open source
- Kansen
- or
- orakel
- organisatie
- organisaties
- uit
- over
- verleden
- pad
- prestatie
- PHP
- Spil
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- mogelijk
- potentieel
- mogelijk
- vereisten
- presenteren
- die eerder
- privilege
- voorrechten
- naar behoren
- in het openbaar
- waardering
- bereiken
- verwant
- vanop
- gemeld
- te vragen
- nodig
- vereist
- onderzoeker
- onderzoekers
- Reageren
- antwoord
- resultaat
- Resultaten
- Risico
- roodborstje
- ronde
- lopend
- s
- zegt
- Scale
- Ontdek
- veiligheid
- zien
- sturen
- ernstig
- Servers
- service
- verscheidene
- So
- Software
- sommige
- bron
- bronnen
- speciaal
- Still
- dergelijk
- Systems
- techniek
- neem contact
- dat
- De
- hun
- Ze
- daarbij
- ze
- dit
- keer
- timing
- naar
- tools
- leiden
- proberen
- onwaarschijnlijk
- bijgewerkt
- Gebruik
- .
- gebruikt
- gebruik
- utility
- waarde
- versie
- versies
- visuele
- kwetsbaarheid
- Kwetsbaar
- wil
- was
- Manier..
- Web-based
- websites
- GOED
- Wat
- Wat is
- welke
- WIE
- Met
- binnen
- zou
- jaar
- zephyrnet