【已复现】Cacti命令执行漏洞(CVE-2022-46169)安全风险通告第二次更新

1、安全升级

目前Cacti官方已发布安全补丁，但暂未发布版本更新，建议受影响用户关注官方更新或参考官方补丁代码进行修复：

https://github.com/Cacti/cacti/commit/7f0e16312dd5ce20f93744ef8b9c3b0f1ece2216

https://github.com/Cacti/cacti/commit/b43f13ae7f1e6bfe4e8e56a80a7cd867cf2db52b

注意：对于在 PHP < 7.0 下运行的 1.2.x 实例，还需要进一步更改：

https://github.com/Cacti/cacti/commit/a8d59e8fa5f0054aa9c6981b1cbe30ef0e2a0ec9

2、缓解方案

(1) 通过更新 lib/functions.php 中 get_client_addr 函数防止授权绕过，可参考官方补丁代码；

(2) 通过更改remote_agent.php文件防止命令注入，检索$poller_id参数时使用get_filter_request_var函数代替get_nfilter_request_var：

$poller_id = get_filter_request_var('poller_id');

(3) 在参数$poller_id传入proc_open()函数之前通过escapeshellarg()函数进行转义：

$cactiphp = proc_open(read_config_option('path_php_binary').'-q'.$config['base_path'].'/script_server.php realtime'.escapeshellarg($poller_id),$cactides,$pipes);

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Cacti命令执行漏洞(CVE-2022-46169)的防护。

奇安信开源卫士已支持

奇安信开源卫士20221208. 110版本已支持对Cacti命令执行漏洞(CVE-2022-46169)的检测。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.1208.13665或以上版本。规则ID及规则名称：

0x100213F1，Cacti未授权命令执行漏洞(CVE-2022-46169)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信自动化渗透测试系统产品解决方案

奇安信自动化渗透测试系统在第一时间加入了该漏洞的插件规则和指纹规则，请将插件版本和指纹版本升级到20221209180110版本。规则名称：Cacti监控系统 CVE-2022-46169 命令执行漏洞，插件版本：20221209180110，指纹版本：20221209180110。奇安信自动化渗透测试系统升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7678，建议用户尽快升级检测规则库至2202081900以上。

[1]https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

2022年12月6日，奇安信 CERT发布安全风险通告；

2022年12月8日，奇安信 CERT发布安全风险通告第二次更新；