2024/05/13 SecurityOnline — ネットワーク監視/グラフ作成のための OSS ツールとして人気の Cacti は、セキュリティ・アップデートをリリースし、2つの重大な脆弱性に対処した。システムをサイバー攻撃にさらす可能性のある、これらの脆弱性の影響を受けるのは、Cacti の 1.3.x DEV 以下のバージョンである。
CVE-2024-29895:コマンド・インジェクションの脆弱性
1つ目の CVE-2024-29895 (CVSS:10.0) は、Cacti の cmd_realtime.php ファイル内で発見された、コマンド・インジェクションの脆弱性だ。この脆弱性の悪用に成功した攻撃者は、認証されていないサーバ上において、任意のコマンド実行が可能になる。この脆弱性は、PHP のメイン Docker イメージを含む多くの環境で、PHP の register_argc_argv オプションがデフォルトで有効化されている場合に、容易に悪用できるため、特に憂慮すべきものだ。
攻撃者は $_SERVER[‘argv’] から派生した $poller_id 変数を操作し、register_argc_argv オプションがアクティブな場合において、URL パラメータを介して影響をおよぼす可能性を得る。PoC のために提供されたサンプルでは、単純な URL がサーバ上で電卓アプリを開くなどの、不要なコマンドの実行をトリガーする様子が示されており、現実に悪意のアクションが引き起こされる可能性が示唆される。
CVE-2024-30268:XSS (Cross-Site Scripting) の脆弱性
2つ目の CVE-2024-30268 (CVSS:6.1) は、settings.php ファイルに存在する反射型 XSS の脆弱性である。この脆弱性の悪用に成功した攻撃者は、侵害した設定インターフェースとやりとりする、管理者またはユーザーのクッキー・キャプチャが可能になる。攻撃者は、適切なサニタイズが欠落した URL の filter パラメータを操作することで、任意の JavaScript コードを注入し、パラメータの値がユーザーのブラウザに出力されたときに、そのコードを実行できる。
この脆弱性の悪用に成功した攻撃者は、セッション・クッキーの窃取/ユーザーへのなりすましなどを行い、プラットフォーム上で不正なアクションを実行する可能性を手にする。
緩和策
どちらの脆弱性も、発見者であるセキュリティ研究者の LioTree から Cacti 開発チームに報告され、最新の Cacti 1.3.x DEV リリースで修正されている。
Cacti ユーザーに強く推奨されるのは、潜在的な悪用から身を守るため、直ちにインストールをパッチ適用バージョンにアップグレードすることだ。アップデートを怠ると、システムが侵害されやすくなり、その結果として、データ漏洩/不正アクセスなどの深刻なセキュリティ・インシデントが生じる可能性がある。
Cacti の脆弱性が、このところ多発しています。同じく 5月13日には「Cacti の脆弱性 CVE-2024-25641 などが FIX:PoC もリリース!」という記事もポストされています。ご利用のチームは、そちらもご確認ください。よろしければ、Cacti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.