Cacti の脆弱性 CVE-2022-46169:大量の未パッチ・サーバがインターネットに露出している

Most internet-exposed Cacti servers exposed to hacking

2023/01/14 SecurityAffairs — Cacti は、堅牢で拡張性の高い運用監視/障害管理フレームワークを、ユーザーに提供するオープンソースのプラットフォームである。Censys の研究者が発見したのは、インターネットに公開されている Cacti サーバの大部分に、現時点で積極的に悪用されている、深刻な脆弱性 CVE-2022-46169 が存在することだ。


この、コマンド・インジェクションの脆弱性は、監視対象となるデバイスで特定のデータソースが選択された場合に、認証されていないユーザーに対して、Cacti サーバ上で任意のコード実行を許すものとなる。この脆弱性は、未認証のユーザーがアクセス可能な remote_agent.php ファイルに存在する。また、この脆弱性は、バージョン 1.2.22 以下に影響を及ぼす。

GitHub で提供されるアドバイザリには、「このコマンド・インジェクションの脆弱性により、監視対象デバイス上で特定のデータソースが選択された場合に、その Cacti サーバ上で、未認証のユーザーに対して任意のコード実行を許すことになる」と記されている。

Censys の研究者が発見したものには、大半の Cacti サーバが古いバージョンを実行しており、パッチが適用されたバージョンの Cacti (1.2.23/1.3.0) を実行しているサーバが、わずか 26台だという現実がある。

Cacti を実行しているホストの多くは、ブラジル 20.54%/インドネシア 12.37%/米国 3.95% に集中している。

Countryhosts
Brazil1,32020.54%
Indonesia79512.37%
United States2543.95%
China1933.0%
Bangladesh1041.62%
Russia991.54%
Ukraine931.45%
Philippines701.09%
Thailand651.01%
United Kingdom560.87%

この脆弱性は、Sonarsource の研究者により発見され、脆弱性の詳細が提供され、問題のあるバージョンの Cacti を実行するサーバを、悪用するデモの PoC ビデオも公開されている。

Shadowserver の研究者によると、2023年1月3日以降において、この問題が積極的に悪用されているという。一部の攻撃では、この問題をトリガーにした脅威アクターが、脆弱なホスト上にマルウェアを展開しているようだ。また、GreyNoise の専門家たちも、この問題を悪用した攻撃を確認しているという。

脆弱性レポートにも登場する Cacti なので、お隣のキュレーション・チームに聞いてみました。この脆弱性 CVE-2022-46169 は、2022/12/13 にレポートされ、2022/12/20 には Debian も対応しているとのことです。放置すると、かなりの深刻な状況に陥る可能性があります。お使いの方は、ご確認ください。

%d bloggers like this: