0
0
Se você estiver executando a solução de monitoramento de rede Cacti e não a atualizar desde o início de dezembro, agora é a hora de fazê-lo para evitar que os invasores explorem uma falha crítica de injeção de comando ( CVE-2022-46169 ).
Sobre Cactos e CVE-2022-46169
Cacti é um aplicativo front-end de código aberto para RRDtool , um sistema para registrar e representar graficamente dados de séries temporais, ou seja, dados de sensores e sistemas que são gravados/coletados em intervalos regulares para criar uma imagem evolutiva do que se deseja monitorar ( por exemplo, desempenho do aplicativo, dados de rede, cliques do usuário, etc.).
O Cacti geralmente é implantado para monitorar as operações de rede e resolver problemas decorrentes de falhas de hardware ou perda de conectividade.
CVE-2022-46169 é uma vulnerabilidade de injeção de comando que “permite que um usuário não autenticado execute código arbitrário em um servidor executando o Cacti, se uma fonte de dados específica foi selecionada para qualquer dispositivo monitorado”.
Foi corrigido em 5 de dezembro de 2022 e os usuários foram aconselhados a atualizar para v1.2.23 e v1.3.0 para tapar o buraco.
Atacantes explorando CVE-2022-46169
Desde então, os pesquisadores da SonarSource divulgaram detalhes técnicos sobre a falha e um PoC foi publicado no GitHub. Naturalmente, seguiram -se tentativas de exploração na natureza .
De acordo com o Censys, existem 6.427 hosts Cacti expostos na Internet, embora seja difícil dizer quantos estão vulneráveis.
O Cacti não é o único aplicativo usado para monitorar a integridade de um conjunto de serviços ou de uma rede; Há muitos mais exemplos. Esses tipos de ferramentas de monitoramento são alvos excelentes para invasores. Dado que esses sistemas são, de várias maneiras, bancos de dados de inventário de ativos, eles contêm informações valiosas sobre o layout e a arquitetura de uma rede. Como esses sistemas costumam ter algum nível padrão (geralmente, pelo menos, somente leitura) de acesso a endpoints (monitoramento) de organizações inteiras, comprometer um host como esse pode ser o primeiro passo para se infiltrar em tudo”, observaram os especialistas da Censys .
Além de atualizar regularmente esses tipos de sistemas, os usuários também devem restringir o acesso a eles com regras de firewall, segmentação de VPN ou VPC e habilitando a autenticação, acrescentaram.
Administradores de servidores Cacti que falharam em fazer tudo isso devem verificar se a instalação está comprometida.
FONTE: HELPNET SECURITY