Cacti ağ izleme çözümünü çalıştırıyorsanız ve Aralık ayının başından beri güncellemediyseniz, kritik bir komut enjeksiyon kusurundan (CVE-2022-46169) yararlanan saldırganları engellemek için bunu yapmanın tam zamanı.
Kaktüsler ve CVE-2022-46169 hakkında
Cacti, RRDtool için açık kaynaklı bir ön uç uygulamasıdır; zaman serisi verilerini, yani sensörlerden ve sistemlerden gelen verileri, izlemek istediğin şeyin gelişen bir resmini oluşturmak için düzenli aralıklarla kaydedilen / toplanan verileri günlüğe kaydetmeye ve grafik haline getirmeye yönelik bir sistemdir ( örneğin, uygulama performansı, ağ verileri, kullanıcı tıklamaları vb.).
Cacti genellikle ağ işlemlerini izlemek ve donanım arızası veya bağlantı kaybı gibi şeylerden kaynaklanan sorunları çözmek için kullanılır.
CVE-2022-46169, “izlenen herhangi bir cihaz için belirli bir veri kaynağı seçilmişse, kimliği doğrulanmamış bir kullanıcının Cacti çalıştıran bir sunucuda rasgele kod yürütmesine izin veren” bir komut enjeksiyon güvenlik açığıdır.
5 Aralık 2022’de yama yapıldı ve kullanıcılara deliği kapatmaları için v1.2.23 ve v1.3.0’a yükseltmeleri önerildi.
CVE-2022-46169’dan yararlanan saldırganlar
O zamandan beri, SonarSource araştırmacıları kusurla ilgili teknik ayrıntıları yayınladılar ve GitHub’da bir PoC yayınlandı. Doğal olarak, vahşi sömürü girişimleri takip etti.
Censys’e göre, internette açığa çıkan 6.427 Kaktüs barındırıcısı var, ancak kaç tanesinin savunmasız olduğunu söylemek zor.
Cacti, bir dizi hizmetin veya bir ağın durumunu izlemek için kullanılan tek uygulama değildir; daha birçok örnek var. Bu tür izleme araçları, saldırganlar için mükemmel hedeflerdir. Bu sistemlerin birçok yönden varlık envanteri veritabanları olduğu göz önüne alındığında, bir ağın düzeni ve mimarisi hakkında değerli bilgiler içerirler. Bu sistemler genellikle tüm kuruluşların (izleme) uç noktalarına bazı varsayılan (en azından salt okunur) erişim düzeyine sahip olduğundan, bunun gibi bir ana bilgisayarı tehlikeye atmak her şeye sızmanın ilk adımı olabilir,” dedi Censys uzmanları.
Kullanıcılar bu tür sistemleri düzenli olarak güncellemenin yanı sıra, güvenlik duvarı kuralları, VPN veya VPC segmentasyonu ile bunlara erişimi kısıtlamalı ve kimlik doğrulamayı etkinleştirerek eklediler.
Tüm bunları yapmakta başarısız olan Cacti sunucularının yöneticileri, kurulumlarını tehlikeye karşı kontrol etmelidir.