İnternete açık olan Cacti sunucularının çoğu, vahşi ortamda aktif olarak sömürülen, yakın zamanda yamalanmış kritik bir güvenlik açığına karşı yama uygulanmadı.
Bu, toplam 6.427 sunucudan yalnızca 26’sının Cacti’nin (1.2.23 ve 1.3.0) yamalı sürümünü çalıştırdığını tespit eden saldırı yüzeyi yönetim platformu Censys’e göre.
Söz konusu sorun, kimliği doğrulanmamış bir kullanıcının açık kaynaklı, web tabanlı izleme çözümünün etkilenen bir sürümünde rasgele kod yürütmesine olanak tanıyan bir kimlik doğrulama atlaması ve komut enjeksiyonunun bir kombinasyonu olan CVE-2022-46169 (CVSS puanı: 9.8) ile ilgilidir. .
1.2.22 ve önceki sürümleri etkileyen kusurla ilgili ayrıntılar ilk olarak SonarSource tarafından açıklandı. Kusur, 2 Aralık 2022’de proje sahiplerine bildirildi.
SonarSource araştırmacısı Stefan Schiller bu ayın başlarında “Cacti’nin çoğu kurulumu için ana bilgisayar adına dayalı bir yetkilendirme denetimi güvenli bir şekilde uygulanmaz,” dedi ve “temizlenmemiş kullanıcı girişi, harici bir komutu yürütmek için kullanılan bir diziye yayılır” dedi.
Güvenlik açığının kamuya açıklanması, aynı zamanda “sömürü girişimlerine” yol açtı. Gölge sunucusu Vakfı ve şimdiye kadar Ukrayna’da bulunan bir IP adresinden kaynaklanan kötü amaçlı saldırılara karşı GreyNoise uyarısı.
Yamasız sürümlerin çoğu (1.320) Brezilya’da bulunur ve bunu Endonezya, ABD, Çin, Bangladeş, Rusya, Ukrayna, Filipinler, Tayland ve Birleşik Krallık takip eder.
SugarCRM Kusuru, Web Kabuklarını Düşürmek İçin Aktif Olarak Kullanıldı
Censys, bağımsız bir danışma belgesinde, SugarCRM’nin 354 benzersiz ana bilgisayara PHP tabanlı bir web kabuğu bırakmak için aktif olarak silah haline getirilen, kamuya açıklanan bir güvenlik açığı için düzeltmeler göndermesiyle birlikte geldi.
CVE-2023-22952 olarak izlenen hata, gelişigüzel PHP kodunun enjeksiyonuna neden olabilecek eksik giriş doğrulama durumuyla ilgilidir. SugarCRM 11.0.5 ve 12.0.2 sürümlerinde ele alınmıştır.
Censys tarafından detaylandırılan saldırılarda, web kabuğu, virüslü makinede web hizmetini çalıştıran kullanıcıyla aynı izinlere sahip ek komutlar yürütmek için bir kanal olarak kullanılır. Enfeksiyonların çoğu ABD, Almanya, Avustralya, Fransa ve Birleşik Krallık’ta bildirildi.
Kötü niyetli aktörlerin saldırılarını gerçekleştirmek için yeni açıklanan güvenlik açıklarından yararlanmaları alışılmadık bir durum değil, bu da kullanıcıların güvenlik açıklarını hızla kapatmasını zorunlu kılıyor.