CVE-2022-46169：Cacti命令注入漏洞

2022年12月07日，360CERT监测发现Cacti的漏洞细节在互联网公开，漏洞编号为CVE-2022-46169，漏洞等级：严重，漏洞评分：9.8。

Cacti项目是一个开源平台，可为用户提供强大且可扩展的操作监控和故障管理框架。

对此，360CERT建议广大用户及时将Cacti升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

360CERT对该漏洞的评定结果如下

CVE-2022-46169: Cacti命令注入漏洞

CVE: CVE-2022-46169

组件: Cacti

漏洞类型: 命令注入

影响: 代码执行

简述: 该漏洞存在于“remote_agent.php”文件中，攻击者无需身份验证即可访问此文件。攻击者可利用get_nfilter_request_var()函数检索的参数$poller_id，来满足poller_item =POLLER_ACTION_SCRIPT_PHP条件，触发proc_open()函数，从而导致命令执行。漏洞利用成功后，未经身份验证的攻击者可以在运行 Cacti 的服务器上执行任意代码。

通用修补建议

根据影响版本中的信息，排查并升级到安全版本。

Cacti官方已针对该漏洞发布补丁，但补丁更新版本1.2.23和1.3.0目前暂未发布，详见：

https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

临时修补建议

1. 禁止lib/functions.php 文件中的 get_client_addr函数返回任意IP地址来防止授权绕过。同时不遵守 HTTP_... $_SERVER 变量。

2. 对 remote_agent.php 文件应用以下更改来防止命令注入：变量 $poller_id 应该是一个整数，因此应该通过函数 get_filter_request_var 替代 get_nfilter_request_var 来检索：

    function poll_for_data() {
            // ...
               $poller_id      = get_filter_request_var('poller_id');
               // ...

3. 为了进一步加强对命令注入的防御，$poller_id 在传递给 proc_open 之前应该使用 escapeshellarg 进行转义。

    function poll_for_data() {
    // ...
    $cactiphp = proc_open(read_config_option('path_php_binary') . ' -q ' . $config['base_path'] . '/script_server.php realtime ' . escapeshellarg($poller_id), $cactides, $pipes);
    // ...

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360终端安全管理系统

360终端安全管理系统在360安全大脑极智赋能下，以云计算、大数据、人工智能等新技术为支撑，是面向企业级客户提供端点安全（EPP)、主机安全(CDRCWPP)、高级威胁检测与响应(EDR)等各类能力和功能功能的同一平台管理产品。

创新领先的场景化管理方式，对勒索防护、挖矿防护、HW对抗、重大事件保障、APT防护、等保合规、数据安全防护场景等场景实现高效的终端安全运营管理。

2022-12-06 Cacti官方发布通告

2022-12-07 360CERT发布通告

1.https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

2.https://nvd.nist.gov/vuln/detail/CVE-2022-46169

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT推出了安全通告特制版报告订阅服务，以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。