Cacti Network Monitoring Software Patched for Critical Security Flaws (CVE-2024-25641)
2024/05/13 SecurityOnline — ネットワーク監視ツールとして広く利用されている Cacti がリリースしたのは、深刻なリモート・コード実行 (RCE:Remote Code Execution) などの脆弱性に対処する、クリティカルなセキュリティ・アップデートである。修正された脆弱性のうち、最も深刻度が高い CVE-2024-25641 (CVSS:9.1) は、テンプレートのインポート権限を持つ認証済みの攻撃者に対して、影響を受ける Web サーバ上での任意の PHP コード実行を許す可能性のあるものだ。
深刻な RCE 脆弱性の詳細
今回のアップデートで対処された脆弱性のうち、最も憂慮すべきは CVE-2024-25641 である。この脆弱性の悪用に成功した、特定のパーミッションを持つ認証済みの攻撃者は、 フレームワークのパッケージ・インポート機能経由で、任意の PHP コードの実行が可能になる。この脆弱性は import_package() 関数に起因するものであり、アップロードされた XML データ内のファイル名とコンテンツに対する、不適切なサニタイズとバリデーションにより、Web サーバ上での任意のファイルの書き込みを許すことになる。
セキュリティ研究者である Egidio Romano が提供する PoC (proof-of-concept) の PHP スクリプトにより実証された悪用方法は、インポート・プロセスを操作する攻撃者が、悪意のコードを注入/実行し、システムへの不当なアクセスを容易に獲得できることを明らかにするものだ。
その他の修正された脆弱性
今回のアップデートでは、以下のような複数の脆弱性にもパッチが適用された:
- CVE-2024-34340 (CVSS 4.2):古いパスワード・ハッシュに関連する認証バイパスの脆弱性。特定の条件下において、攻撃者に不正アクセスを許す可能性がある。
- CVE-2024-31443 (CVSS 5.7)/CVE-2024-27082 (CVSS 7.6):どちらも XSS (cross-site scripting) の脆弱性であり、悪用に成功した攻撃者は、他のユーザーが閲覧している Web ページにクライアントサイド・スクリプトを注入し、Web セッションを操作する可能性がある。
- CVE-2024-31444 (CVSS 4.6)/CVE-2024-31458 (CVSS 4.6)/CVE-2024-31460/CVE-2024-31445 (CVSS 8.8):SQL インジェクションの脆弱性。攻撃者は、フレームワークのデータベース・クエリを妨害し、不正なデータ操作やアクセスを実行する可能性がある。
- CVE-2024-31459 (深刻度 High):プラグイン経由でファイルをインクルードする RCE 脆弱性。悪用に成功した攻撃者は、任意のコードを実行する可能性がある。
- CVE-2024-29894 (深刻度 Moderate):JavaScript ベースのメッセージング API における XSS の脆弱性。攻撃者は、悪意のスクリプトを実行する可能性がある。
Cacti ユーザーが行うべきこと
これらの脆弱性に関する、技術的な詳細と PoC コードが公開された。したがって、すべての Cacti ユーザーに強く推奨されるのは、悪用のリスクを軽減するためも、直ちにバージョン 1.2.27 以降へとアップグレードすることである。
Cacti に、とても深刻な脆弱性が発見され、すでに PoC もリリースされているという状況です。モニタリング・ツールであるだけに、侵害が生じると、甚大な被害にいたる可能性があります。ご利用のチームは、アップデートを、お急ぎください。よろしければ、Cacti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.