Cacti の脆弱性 CVE-2023-51448／CVE-2023-49084：連鎖により RCE 攻撃が可能

Cacti Monitoring Tool Spiked by Critical SQL Injection Vulnerability

2024/01/09 DarkReading — ネットワーク・パフォーマンス監視のための Web ベースのオープンソース・フレームワークである Cacti に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、Cacti のデータベース・コンテンツ全体の公開が可能になる。何千もの Web サイトが、Cacti を使用して、ルーター／スイッチ／サーバーなどのデバイスから、帯域幅の使用率／CPU とメモリーの使用量／ディスク I/O などに関連するネットワーク・パフォーマンス情報を収集している。それにより運用組織は、収集したデータを Round Robin Database utility (RRDTool) に入力し、グラフィックや視覚的なメトリクスを生成できる。

RRDTool は、組織内の IT フットプリント全体をカバーしているため、サイバー攻撃者にとって貴重な偵察の手段を提供するだけでなく、ネットワーク深部に侵入するための足場となる。

特筆すべきは、脆弱性 CVE-2023-51448 の悪用に成功した攻撃者は、以前に公開された別の脆弱性 CVE-2023-49084 と連鎖させることで、脆弱なシステム上でリモート・コード実行 (RCE) が可能になる点である。

CVE-2023-51448: 不十分なサニタイズの脆弱性

脆弱性 CVE-2023-51448 は、Cacti 1.2.25 に存在する。Cacti は、ソフトウェアの更新バージョンをリリースして、このバグに対処した。

この脆弱性により、アプリへの入力データが適切にサニタイズされないことで、ブラインド SQL インジェクション攻撃と呼ばれる攻撃への道が開かれてしまう。GitHub は、この脆弱性の深刻度を CVSS 3.1 スケールで最大 10 段階中 8.8 と評価しており、低権限の攻撃者が悪用できると説明している。

この脆弱性を 2023年12月に発見し Cacti に報告した、Synopsys のセキュリティ研究者 Matthew Hogg によると、この欠陥を悪用する攻撃者は、Settling／Utilities 権限を持つ、認証済みアカウントが必要だという。

Hogg は、「攻撃者は、Shodan のようなサービスを利用することで、稼働中のシステムを照会できるため、Cacti が稼働しているシステムを見つけることは簡単だ。攻撃者は、Shodan を使って調査を自動化し、脆弱なバージョンを実行しているシステムを検出することで、侵害の活動に集中できる。1月8日の朝の時点で、Shodan の検索は、潜在的に Cacti の脆弱なバージョンを実行している、4,000 以上の Cacti ホストをリストアップしている」と言う。

彼によると、CVE-2023-51448 の悪用を引き起こすには、Settings／Utilities 権限を持つ認証された攻撃者が、SQL インジェクションのペイロードを持つ特別に細工された HTTP GET リクエストを、エンドポイント /managers.php に送る必要があるという。

Hogg は、「ブラインド SQL のテクニックを使用すると、攻撃者は Cacti データベースの内容を開示し、リモート・コード実行 (RCE：Remote Code Execution) を引き起こすことが可能になる」と説明している。

ブラインド SQL：大規模な攻撃の可能性は低いが、依然として茨の道である

ブラインド SQL インジェクション攻撃では、攻撃者は注入された SQL クエリの直接の結果を閲覧できない。その代わりに、アプリケーションの反応が推測できるという。Hogg の指摘は、エラー・メッセージやタイミングの遅延などの外部情報源を、攻撃者たちは参照しているというものだ。

彼は、「ブラインドとは、SQL インジェクションを説明する際によく使われる言葉であり、攻撃者に直接結果が返されるのではなく、周辺情報から推測されるものである。この場合、時間ベースの推測は、あるブール条件が満たされているかどうかをチェックするために使われる。その一方で、レスポンスタイムの差は、ある条件が満たされているかどうかを評価するために使用される」と説明する。

さらに彼は、「ブラインド SQL インジェクション攻撃は、大規模に実行するのは難しいが、必要な権限を持つアカウントにアクセスできる攻撃者であれば、Cacti の脆弱性を簡単に悪用できる。ブラインド SQL インジェクションは、実行するのは容易だ。しかし、攻撃ベクターの性質上、悪用するのは難しい」と指摘している。

しかし Hogg は、「これらの脆弱性を連鎖させる可能性だが、脆弱性 CVE-2023-49084 悪用のための条件を満たしさえすれば、些細な方法で CVE-2023-51448 を実行できるだろう」と指摘している。

今回に発見された脆弱性は、過去１年間に研究者たちが Cacti で報告した、いくつかの脆弱性のうちの１つである。特に深刻なものは、認証を必要としないコマンド・インジェクションの脆弱性 CVE-2022-46169 である。この脆弱性は 2023年1月に公開され、公開から数ヵ月後にエクスプロイトが公開されている。もう１つは CVE-2023-39362 であり、2023年6月に公開され、10月にエクスプロイトが公開されている。

Cacti に脆弱性 CVE-2023-49084／CVE-2023-51448 が連鎖すると、ブラインド SQL インジェクション攻撃にいたるとのことです。モニタリングとマネージメントのフレームワークであり、侵害からの影響は大きいはずです。ご利用のチームは、アップデートをお急ぎください。直近の Cacti における脆弱性は、2023/01/14 の「Cacti の脆弱性 CVE-2022-46169：大量の未パッチ・サーバがインターネットに露出している」です。よろしければ、ご参照ください。