Most internet-exposed Cacti servers exposed to hacking
2023/01/14 SecurityAffairs — Cacti は、堅牢で拡張性の高い運用監視/障害管理フレームワークを、ユーザーに提供するオープンソースのプラットフォームである。Censys の研究者が発見したのは、インターネットに公開されている Cacti サーバの大部分に、現時点で積極的に悪用されている、深刻な脆弱性 CVE-2022-46169 が存在することだ。
この、コマンド・インジェクションの脆弱性は、監視対象となるデバイスで特定のデータソースが選択された場合に、認証されていないユーザーに対して、Cacti サーバ上で任意のコード実行を許すものとなる。この脆弱性は、未認証のユーザーがアクセス可能な remote_agent.php ファイルに存在する。また、この脆弱性は、バージョン 1.2.22 以下に影響を及ぼす。
GitHub で提供されるアドバイザリには、「このコマンド・インジェクションの脆弱性により、監視対象デバイス上で特定のデータソースが選択された場合に、その Cacti サーバ上で、未認証のユーザーに対して任意のコード実行を許すことになる」と記されている。
Censys の研究者が発見したものには、大半の Cacti サーバが古いバージョンを実行しており、パッチが適用されたバージョンの Cacti (1.2.23/1.3.0) を実行しているサーバが、わずか 26台だという現実がある。
Cacti を実行しているホストの多くは、ブラジル 20.54%/インドネシア 12.37%/米国 3.95% に集中している。
| Country | hosts | |
| Brazil | 1,320 | 20.54% |
| Indonesia | 795 | 12.37% |
| United States | 254 | 3.95% |
| China | 193 | 3.0% |
| Bangladesh | 104 | 1.62% |
| Russia | 99 | 1.54% |
| Ukraine | 93 | 1.45% |
| Philippines | 70 | 1.09% |
| Thailand | 65 | 1.01% |
| United Kingdom | 56 | 0.87% |
この脆弱性は、Sonarsource の研究者により発見され、脆弱性の詳細が提供され、問題のあるバージョンの Cacti を実行するサーバを、悪用するデモの PoC ビデオも公開されている。
Shadowserver の研究者によると、2023年1月3日以降において、この問題が積極的に悪用されているという。一部の攻撃では、この問題をトリガーにした脅威アクターが、脆弱なホスト上にマルウェアを展開しているようだ。また、GreyNoise の専門家たちも、この問題を悪用した攻撃を確認しているという。
脆弱性レポートにも登場する Cacti なので、お隣のキュレーション・チームに聞いてみました。この脆弱性 CVE-2022-46169 は、2022/12/13 にレポートされ、2022/12/20 には Debian も対応しているとのことです。放置すると、かなりの深刻な状況に陥る可能性があります。お使いの方は、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.