Um número significativo de servidores que utilizam o software Cacti e estão conectados à Internet não foram atualizados para corrigir uma vulnerabilidade de segurança que está sendo ativamente explorada por invasores.
De acordo com Censysuma plataforma para gerenciar superfícies de ataque, apenas uma pequena fração do número total de servidores Cacti conectados à Internet foi atualizada para uma versão do software que inclui um patch para a vulnerabilidade crítica de segurança que está sendo explorada atualmente.
De um total de 6.427 servidores, apenas 26 foram encontrados com a versão atualizada do Cacti, versão 1.2.23 e 1.3.0, instalado. A implicação é que a maioria dos servidores não estava executando a versão corrigida do software, o que poderia ser uma preocupação de segurança.
A vulnerabilidade em discussão, CVE-2022-46169é um grave problema de segurança que permite que um indivíduo não autorizado execute código arbitrário em sistemas que usam uma versão afetada do Cacti.
É uma combinação de dois tipos de ataque, um desvio de autenticação e uma vulnerabilidade de injeção de comando, que juntos resultam em uma pontuação CVSS de 9.8. Esta solução de monitoramento de código aberto baseada na Web está atualmente sendo explorada ativamente.
No início, SonarSource identificado esta vulnerabilidade, que afeta todas as versões do software que são 1.2.22 e anteriores.
A empresa tomou a atitude responsável de divulgar esta informação aos mantenedores do projeto em dezembro 22022, o que significa que os indivíduos ou equipes responsáveis pela manutenção e atualização do projeto foram informados sobre o assunto.
Este é um passo importante para abordar e mitigar a vulnerabilidade, pois permite que os mantenedores tomem as medidas apropriadas, como lançar um patch ou atualização para corrigir o problema.
Esta vulnerabilidade existe na maioria das instalações do Cacti devido à implementação inadequada da verificação de autorização baseada no nome do host, permitindo que entradas não higienizadas do usuário possam executar comandos externos.
A vulnerabilidade foi tornada pública, o que levou a tentativas de explorá-la, com a Shadowserver Foundation e a GreyNoise relatando que ataques maliciosos foram observados a partir de um endereço IP localizado na Ucrânia.
Este vídeo mostra como um servidor que possui uma versão vulnerável do Cacti pode ser explorado.
Países onde um grande número de servidores sem patch está localizado
A maioria das versões sem patch (1.320) são encontrados nestes locais: –
- Brasil
- Indonésia
- Os EUA
- China
- Bangladesh
- Rússia
- Ucrânia
- As Filipinas
- Tailândia
- O Reino Unido
A vulnerabilidade de segurança no Cacti permite que um invasor não autenticado contorne o processo de autenticação acessando um arquivo específico, isso é feito explorando um defeito no software que permite a higienização inadequada de um argumento durante o processamento de uma consulta HTTP específica que está relacionada a um polling “ação” definida no banco de dados. Dessa forma, os invasores podem obter acesso não autorizado ao sistema.
Os monitores são monitorados por quem?
Cacti é apenas um exemplo de tipo de software que serve para monitorar o desempenho de um conjunto de serviços ou de uma rede, existem muitas outras ferramentas semelhantes. Essas ferramentas de monitoramento são alvos atraentes para os invasores, pois contêm dados valiosos.
Mesmo que um software de monitoramento específico como o Cacti não tenha uma vulnerabilidade conhecida, ainda assim não é recomendado deixá-los expostos na Internet se não for necessário, porque eles podem ser usados para coletar informações sobre uma organização por invasores. .
É uma prática comum que os cibercriminosos aproveitem as vulnerabilidades recém-descobertas para lançar ataques, por isso é crucial que os usuários atuem rapidamente e corrijam as falhas de segurança o mais rápido possível, antes que os invasores tenham a chance de explorá-las.