Новости IT

Непропатченные серверы Cacti находятся под атакой

 

 

Согласно Censys, почти все серверы Cacti используют более старую версию, что делает системы уязвимыми для комбинации обхода аутентификации и атак с внедрением команд.

 

- Censys заявила, что только 26 из 6427 наблюдаемых хостов Cacti используют исправленную версию решения с открытым исходным кодом.

- Shadowserver Foundation опубликовала сообщение и заявила, что эксплуатируется уязвимость внедрения удаленных команд без проверки подлинности.

- Cacti опубликовала предупреждение об уязвимости 5 декабря и выпустила исправленные версии, но большинство из них по-прежнему используют более старые версии.

Платформа управления поверхностью атаки, Censys заявила, что они наблюдали 6427 хостов Cacti, решение для мониторинга сети с открытым исходным кодом, хосты, и большинство из них работают с неисправленными версиями. Cacti выпустила бюллетень и заявила, что они обнаружили уязвимость внедрения команд, которая позволяет пользователю, не прошедшему проверку подлинности, выполнять произвольный код на сервере, на котором работает Cacti , если для любого контролируемого устройства был выбран определенный источник данных. Уязвимость, отслеживаемая как CVE-2022-46169, затрагивает все версии до 1.2.22 включительно.

Быть эксплуатируемым.

Согласно сообщению Shadowserver Foundation, уязвимость активно эксплуатируется как минимум с 7 января. Однако исследование Censys показывает, что большинство организаций не восприняли уязвимость всерьез. Из 6 427 хостов только 26 используют одну из пропатченных версий. 1320 из этих хостов находятся в Бразилии, 795 — в Индонезии, 254 — в США и 104 — в Китае.

Патч был выпущен с версиями 1.2.23 и 1.3.0 для защиты пользователей от уязвимости с оценкой CVSS 9,8. Это вызвано тем, как Cacti обрабатывает определенный HTTP -запрос для определенного типа «действия» опроса, определенного в базе данных. Согласно объявлению, один из аргументов запроса, используемых для выполнения этих PHP-скриптов, не очищен должным образом и передается в вызов выполнения, что приводит к внедрению команды. Также была обнаружена еще одна ошибка, позволяющая злоумышленникам полностью обходить аутентификацию. Ценсис сказал,

«Хотя не все программы для мониторинга, такие как Cacti, имеют известные уязвимости (в настоящее время), это не является оправданием для того, чтобы оставлять их открытыми в Интернете, если в этом нет необходимости, тем более что данные, хранящиеся в них, очень ценны. Censys всегда предлагает включить аутентификацию и разместить службы мониторинга за сегментом VPN или VPC, а также использовать надлежащие правила фильтрации IP-адресов, чтобы гарантировать, что Интернет не имеет доступа к вашим критически важным ресурсам.

Злоумышленники могут использовать другие службы, такие как Cacti, для получения информации об организации. Например, инструмент системного мониторинга Netdata в режиме реального времени предоставляет системные метрики на уровне хоста об устройстве, на котором он работает. Он также не поставляется с аутентификацией по умолчанию, а это означает, что любой, у кого есть веб-браузер, может просматривать внутреннюю работу сервера и все содержащиеся в нем пикантные детали. На момент написания статьи было более 30 000 информационных панелей Netdata с выходом в Интернет. »

 

VPS сервер купить от BestHost.BY

Наши контакты

Офис: Республика Беларусь, г. Жодино, ул. Сухогрядская 1, ком 3

Почтовый адрес: 222161, Республика Беларусь, Минская область, город Жодино, а/я 9

Sales: +375(29)335-00-93
Support: 375(29)335-00-94
Режим работы:  24/7
Поддержка осуществляется через личный кабинет (биллинг)

Акции и скидки

Не упустите момент и воспользуйтесь актуальными скидками и предложениями на наши услуги!