Более 1600 доступных через интернет установок популярного инструмента для мониторинга Cacti уязвимы перед критической проблемой, которую уже начали эксплуатировать хакеры. Баг позволяет обойти аутентификацию и выполнить произвольный код.
Еще в начале декабря 2022 года разработчики предупредили о критической уязвимости CVE-2022-46169 (9,8 балла по шкале CVSS), связанной с внедрением команд, которую можно использовать без аутентификации. Тогда же было выпущено обновление, устраняющее уязвимость, а также даны рекомендации по предотвращению возможных атак.
Специалисты SonarSource, обнаружившие эту проблему рассказали, что она затрагивает все версии от 1.2.22 и ниже. В отчете, опубликованном компанией в начале января, был обнародован и PoC-эксплоит, а также атаку продемонстрировали на видео.
Совсем скоро после выхода этого отчета исследователи из The Shadowserver Foundation заметили первые попытки эксплуатации бага с целью доставки малвари, исходившие с украинского IP-адреса. При этом число попыток эксплуатации уязвимости на прошлой неделе только увеличилось.
Специалисты из компании Censys, так же наблюдающие за атаками, сообщают, что обнаружили в сети 6427 установок Cacti. Хотя определить версию инструмента удалось не во всех случаях, исследователи пишут, что только в 26 случаях они точно выявили полностью пропатченные версии Cacti. Также в компании насчитали 1637 установок, которые точно уязвимы для CVE-2022-46169, и многие из них (465) работают под управлением версии 1.1.38, выпущенной в апреле 2021 года.
Большинство уязвимых версий Cacti (1320) найдены в Бразилии, а за ней следуют Индонезия, США, Китай, Бангладеш, Россия, Украина, Филиппины, Таиланд и Великобритания.
