İnternet üzerinden erişilebilen Cacti cihaz izleme aracının 1.600’den fazla örneği, bilgisayar korsanlarının şimdiden yararlanmaya başladığı kritik bir güvenlik sorununa karşı savunmasız durumda.
Cacti, grafiksel görselleştirme de sağlayan ağ cihazları için operasyonel ve hata yönetimi izleme çözümüdür. Web’de açığa çıkan, dünya çapında dağıtılan binlerce örnek var.
Aralık 2022’nin başlarında bir güvenlik danışma belgesi, Cacti’de kimlik doğrulaması olmadan yararlanılabilecek kritik bir komut enjeksiyon güvenlik açığı (CVE-2022-46169 olarak izlenir, önem derecesi 10 üzerinden 9,8) konusunda uyarıda bulundu.
Geliştirici, güvenlik açığını gideren ve aynı zamanda komut enjeksiyonunu ve yetkilendirme atlamayı önlemek için tavsiyeler sağlayan bir güncelleme yayınladı.
Sorunla ilgili teknik ayrıntılar ve nasıl yararlanılabileceği, saldırılar için silah haline getirilebilecek kavram kanıtı (PoC) istismar koduyla birlikte aynı ay ortaya çıkmaya başladı.
3 Ocak’ta, kod kalitesi ve güvenlik ürünleri sağlayan bir şirket olan SonarSource, buldukları teknik bir yazıyı ve güvenlik açığını gösteren kısa bir videoyu yayınladı:
Aynı gün, güvenlik araştırmacıları Shadowserver Vakfı istismarı fark etti denemeler bu kötü amaçlı yazılım teslim etti.
Başlangıçta, istismarlar Mirai kötü amaçlı yazılımı gibi bot ağları yükledi. Yüklenen başka bir istismar, ana bilgisayarda ters bir kabuk açan ve ona bağlantı noktası taramalarını çalıştırma talimatı veren IRC botnet (PERL tabanlı) idi. Daha yeni saldırılar sadece güvenlik açığı olup olmadığını kontrol ediyor.
Shadowserver araştırmacıları tarafından toplanan verilere göre, Cacti’deki CVE-2022-46169 güvenlik açığı için yararlanma girişimleri geçen hafta arttı ve toplam sayı şu anda iki düzinenin altında.
İnternete bağlı cihazlar için Censys saldırı yüzeyi arama platformundan alınan bir raporda, web’de açığa çıkan 6.427 Cacti ana bilgisayarı var. Kaç tanesinin güvenlik açığı bulunan bir sürüm çalıştırdığını veya kaç tanesinin güncellendiğini belirlemek, yine de hepsi için mümkün değil.
“Censys, internette Cacti’nin bir sürümünü çalıştıran 6.427 ana bilgisayar gözlemledi. Ne yazık ki, yalnızca web uygulamasında belirli bir tema (gün doğumu) etkinleştirildiğinde çalışan yazılımın tam sürümünü görebiliriz” – Censys
Ancak şirket, web üzerinden erişilebilen ve CVE-2022-46169’a karşı savunmasız olan 1.637 Cacti ana bilgisayar sayabildi ve bunların çoğu (465), izleme çözümünün Nisan 2021’de piyasaya sürülen 1.1.38 sürümünü çalıştırıyor.
Censys’in sürüm numarasını belirleyebildiği tüm Cacti ana bilgisayarlarından yalnızca 26’sı kritik kusura açık olmayan güncellenmiş bir sürüm çalıştırıyordu.
Saldırganın bakış açısından, bir kuruluşun Cacti örneğine erişim elde etmek, ağdaki aygıt türleri ve bunların yerel IP adresleri hakkında bilgi edinme fırsatı sağlar.
Bu tür bilgiler, yerlerini güvence altına almak veya daha değerli sistemlere geçmek için saldırabilecekleri ağ ve ana bilgisayarlar hakkında doğru bir görüş elde eden bilgisayar korsanları için bir nimettir.