Cacti yazılımını kullanan ve internete bağlı önemli sayıda sunucu, şu anda saldırganlar tarafından aktif olarak kullanılan bir güvenlik açığını giderecek şekilde güncellenmemiştir.
Saldırıları yönetmek için bir platform olan Censys’e göre, internete bağlı Cacti sunucularının toplam sayısının yalnızca küçük bir kısmı, şu anda yapılmakta olan kritik güvenlik açığı için bir yama içeren bir yazılım sürümüne güncellendi. sömürülen.
Toplam 6.427 sunucudan yalnızca 26’sında Cacti’nin güncellenmiş sürümü olan sürüm 1.2.23 ve 1.3.0’ın kurulu olduğu bulundu. Bunun anlamı, sunucuların çoğunluğunun yazılımın yama uygulanmış sürümünü çalıştırmadığıdır, bu bir güvenlik sorunu olabilir.
Tartışılan güvenlik açığı, CVE-2022-46169, yetkisiz bir kişinin Cacti’nin etkilenen bir sürümünü kullanan sistemlerde rasgele kod yürütmesine izin veren ciddi bir güvenlik sorunudur.
Bu, birlikte CVSS puanının 9,8 olmasıyla sonuçlanan iki tür saldırı, bir kimlik doğrulama atlaması ve bir komut enjeksiyon güvenlik açığının birleşimidir. Bu açık kaynaklı, web tabanlı izleme çözümü şu anda vahşi ortamda aktif olarak kullanılıyor.
Başlangıçta SonarSource, yazılımın 1.2.22 ve önceki tüm sürümlerini etkileyen bu güvenlik açığını tespit etti.
Şirket, 2 Aralık 2022’de bu bilgiyi projenin sahiplerine ifşa ederek sorumlu adımı attı, yani projenin sürdürülmesinden ve güncellenmesinden sorumlu kişi veya ekipler konu hakkında bilgilendirildi.
Bu, güvenlik açığını gidermek ve azaltmak için önemli bir adımdır, çünkü bakım yapanların sorunu düzeltmek için bir yama veya güncelleme yayınlamak gibi uygun eylemi gerçekleştirmesine olanak tanır.
Bu güvenlik açığı, Cacti’nin çoğu kurulumunda, ana bilgisayar adına dayalı yetkilendirme kontrolünün yanlış uygulanması ve sterilize edilmemiş kullanıcı girişinin potansiyel olarak harici komutları yürütmesine izin vermesi nedeniyle mevcuttur.
Shadowserver Foundation ve GreyNoise’ın Ukrayna’da bulunan bir IP adresinden kötü niyetli saldırıların gözlemlendiğini bildirmesiyle güvenlik açığı halka açıldı ve bu güvenlik açığından yararlanma girişimlerine yol açtı.
Bu video, Cacti’nin savunmasız bir sürümüne sahip bir sunucunun nasıl kötüye kullanılabileceğini gösterir.
Çok Sayıda Yamasız Sunucunun Bulunduğu Ülkeler
Yama uygulanmamış sürümlerin çoğu (1.320) şu konumlarda bulunur: –
- Brezilya
- Endonezya
- Birleşik Devletler
- Çin
- Bangladeş
- Rusya
- Ukrayna
- Filipinler
- Tayland
- Birleşik Krallık
Cacti’deki güvenlik açığı, kimliği doğrulanmamış bir saldırganın belirli bir dosyaya erişerek kimlik doğrulama sürecini atlamasına olanak tanır. yoklama “eylem” veritabanında tanımlı. Bu şekilde saldırganlar sisteme yetkisiz erişim elde edebilir.
Monitörler kim tarafından izlenir?
Cacti, bir dizi hizmetin veya bir ağın performansını izlemek için kullanılan bir yazılım türüne yalnızca bir örnektir, buna benzer birçok başka araç vardır. Bu izleme araçları, değerli veriler içerdiklerinden saldırganlar için çekici hedeflerdir.
Cacti gibi belirli bir izleme yazılımının bilinen bir güvenlik açığı olmasa bile, saldırganlar tarafından bir kuruluş hakkında istihbarat toplamak için kullanılabileceğinden, zorunlu olmadıkça bunların internette açıkta bırakılması önerilmez. .
Siber suçluların saldırı başlatmak için yeni keşfedilen güvenlik açıklarından yararlanmaları yaygın bir uygulamadır, bu nedenle, kullanıcıların hızlı hareket etmesi ve güvenlik zayıflıklarını saldırganlar bunları kullanma şansı bulamadan mümkün olan en kısa sürede düzeltmesi çok önemlidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin