数千个网站都在使用 Cacti 来收集网络性能信息如从各种设备像路由器、交换机、服务器等中收集与带宽使用、CPU和内存使用以及磁盘I/O相关的信息。组织机构将所收集的数据填充到 RRDTool 中,并创建图形和视觉指标。如此,便能触及组织机构中的整个 IT 指纹,为网络攻击者提供了无价的侦查机会,并可用作深入网络的一个跳转点。
值得关注的是,攻击者还可组合利用 CVE-2023-51448和另外一个此前披露的 CVE-2023-49084 在易受攻击系统上实现RCE后果。
该漏洞的编号是CVE-2023-51448,位于 Cacti 1.2.25版本中。Cacti 已发布新版本修复了该漏洞。
该漏洞与应用未能正确清理输入数据有关,可导致SQL盲注攻击。GitHub 对该漏洞的评分是CVSS v3.1 8.8分,并指出攻击者仅需低权限即可利用它。
发现该漏洞的研究员 Matthew Hogg 在上个月将漏洞告知 Cacti 的维护人员,指出攻击者需要具有“设置/工具”权限的认证账户才能利用该漏洞。Hogg 提到,“找到运行 Cacti 的系统并不难,因为恶意人员可利用 Shodan 等服务查询实时系统。恶意人员还可借此自动化其初始侦查,找到运行易受攻击版本的系统实施攻击。”
Hogg 提到,截止到本周一,Shodan 搜索结果显示4000多台 Cacti 主机可能在运行易受攻击的 Cacti 版本。他提到,具有 Settings/Utilities 权限的认证攻击者需要将带有SQL注入 payload 的特殊构造的 HTTP GET 请求发送到端点 “/managers.php”。他表示,“通过SQL 盲注技术,攻击者能够披露 Cacti 数据库内容或者触发远程代码执行后果。”
在SQL盲注攻击活动中,攻击者看不到所注入 SQL 查询的直接结果,而是需要基于应用可能的响应方式来尝试并进行推断。
Hogg 提到外部信息来源如出错信息和定时延迟时表示,“盲目通常用于描述 SQL 注入,其结果并未直接返回给攻击者,而是使用 oracle 推断出带外攻击。在本案例中,基于时间的 oracle 可用于查看是否符合布尔条件。响应时间之间的差异用于评估是否满足该条件,而它可查看攻击者想要泄露的字符的值。 ”
SQL 盲注攻击难以大规模发生。然而,具有所需权限可访问账户的攻击者可轻松利用该漏洞。Hugg 提到,“因攻击向量的性质,SQL 盲注易于执行,但难以利用。”
然而,他在说明组合利用之前所提到的漏洞的可能性时提到,“满足 CVE-2023-49084 前提条件的有能力的攻击者将能够轻松执行CVE-2023-51448.”
除了CVE-2023-51448外,研究人员一年来还曾报送了 Cacti 中的其它漏洞。其中更为严重的是去年1月份披露的未认证命令注入漏洞CVE-2022-46169 且该漏洞的 exploit 在数月之后就被公开披露。另外一个漏洞是在去年6月份发现的CVE-2023-39362,且它的 exploit 在10月份就被公开。
https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vulnerability
题图:Pexels License
原文始发于微信公众号(代码卫士):Cacti 监控工具受严重的SQL漏洞影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论