Специалист Positive Technologies Алексей Соловьев обнаружил несколько уязвимости в системе мониторинга Cacti. Эксплуатация этих багов могла позволить атакующему выполнить произвольный код на сервере.
Cacti широко применяется в дата-центрах, телеком-компаниях, хостинг-провайдерах для оперативного мониторинга, сбора данных и управлениями сбоями сетевой инфраструктуры.
Так, в мае 2024 года число доступных в интернете систем, на которых работает Cacti, оценивалось специалистами Positive Technologies более чем в 1300 установок. Больше половины из них находятся в четырех странах: Индонезии (36,3%), Бангладеш (10,51%), США (9,67%) и Китае (6,37%).
Наиболее опасной из обнаруженных уязвимостей была признана проблема SQL-инъекций — CVE-2023-49085 (BDU:2024-01113) с 8,8 балла по шкале CVSS v3. За ней следует уязвимость, связанная с выходом за пределы каталога — CVE-2023-49084 (BDU:2024-03557) с оценкой 8,1 балла. И последней найденной уязвимостью, использующейся при межсайтовом скриптинге (DOM XSS), стала CVE-2023-49086 (BDU:2024-04203) с 6,1 балла по шкале CVSS v3.
«Система Cacti обеспечивает непрерывный мониторинг сетевой инфраструктуры, и эксплуатация подобных уязвимостей чревата существенным ущербом для бизнеса. В нашем случае потенциальный атакующий имел шанс использовать цепочку из трех найденных уязвимостей для полной компрометации системы Cacti и проникновения во внутреннюю сеть. На первом этапе надо было вынудить авторизованного пользователя перейти по ссылке для запуска вредоносного JavaScript-кода. Далее злоумышленник мог бы использовать SQL-инъекцию, чтобы записать необходимую информацию в базу данных, затем выйти за пределы каталога и включить зараженный файл. Это привело бы к выполнению произвольного кода на сервере»», — рассказывает Соловьев.
Разработчиков Cacti уведомили об угрозе, и они уже выпустили обновление своего ПО. Пользователям настоятельно рекомендуется установить Cacti версии 1.2.27 или выше.
