攻击者可以利用该问题访问Cacti数据库中的所有数据;并且,当与先前的漏洞链接时,它会启用 RCE。
用于监控网络性能的基于 Web 的 Cacti 开源框架中存在一个严重漏洞,该漏洞为攻击者提供了泄露 Cacti 整个数据库内容的方法,从而给组织带来了棘手的风险。
数以千计的网站使用 Cacti 从路由器、交换机和服务器等设备收集网络性能信息,例如与带宽利用率、CPU 和内存使用情况以及磁盘 I/O 相关的信息。组织使用收集的数据填充循环数据库实用程序 (RRDTool),以便他们可以从中创建图形和可视化指标。
因此,它已经覆盖了组织内的整个 IT 足迹,为网络攻击者提供了宝贵的侦察机会,以及深入网络的枢纽点。
重要的是,攻击者还可以将 CVE-2023-51448 与之前披露的另一个 Cacti 漏洞(CVE-2023-49084 )链接起来,以在易受攻击的系统上实现远程代码执行 (RCE)。
Cacti 中的 CVE-2023-51448:消毒不足
该漏洞的编号为CVE-2023-51448,存在于 Cacti 版本 1.2.25 中。Cacti发布了解决该错误的软件更新版本。
该问题与应用程序未正确清理输入数据有关,从而为所谓的盲目 SQL 注入攻击留下了路径。GitHub 已将该漏洞的严重等级评定为 8.8 级(CVSS 3.1 等级,最高为 10 级),并将其描述为一个需要攻击者仅具有低权限才能利用的问题。
Synopsys 的安全研究员 Matthew Hogg发现了该漏洞,并于上个月向 Cacti 的维护人员报告了该漏洞。他表示,攻击者需要具有“结算/实用程序”权限的经过身份验证的帐户才能利用该漏洞。
“查找运行 Cacti 的系统非常简单,因为恶意行为者可以使用 Shodan 等服务来查询实时系统,”Hogg 说。“恶意行为者可以使用 [Shodan] 自动进行初始侦察,以找到运行易受攻击版本的系统来集中其活动。”
他说,截至周一早上,Shodan 搜索列出了 4,000 多个 Cacti 主机,这些主机可能运行易受攻击的 Cacti 版本。
根据 Hogg 的说法,要触发 CVE-2023-51448,具有设置/实用程序权限的经过身份验证的攻击者需要将带有 SQL 注入负载的特制 HTTP GET 请求发送到端点“/managers.php”。
“使用盲目 SQL 技术,攻击者可以泄露 Cacti 数据库内容或触发远程代码执行 (RCE),”Hogg 说。
盲目 SQL 意味着不太可能发生大规模攻击,但这仍然是一个棘手的问题
在盲目 SQL 注入攻击中,攻击者看不到注入 SQL 查询的直接结果。相反,他们需要尝试根据应用程序的响应方式来推断。
“盲注通常用于描述 SQL 注入,其中结果不会直接返回给攻击者,而是使用预言机进行带外推断,”Hogg 提到外部信息源(例如错误消息和时间延迟)时说道。“在这种情况下,基于时间的预言机可用于检查是否满足某些布尔条件。响应时间之间的差异用于评估是否满足条件,例如,可以检查字符的值攻击者想要泄密。”
SQL 盲注攻击很难大规模实施。然而,霍格指出,能够访问具有所需权限的帐户的攻击者可以轻松利用 Cacti 中的漏洞。“SQL 盲注很容易执行,但由于攻击向量的性质而难以利用。”
然而,在谈到该漏洞与上述错误链接的可能性时,安全研究人员表示:“满足 CVE-2023-49084 先决条件的有能力的攻击者将能够以简单的方式执行 CVE-2023-51448。”
最新的漏洞是研究人员去年在 Cacti 中报告的几个漏洞之一。其中最严重的一个是CVE-2022-46169,这是去年 1 月披露的未经身份验证的命令注入漏洞,该漏洞的利用在几个月后公开。另一个漏洞是CVE-2023-39362,该漏洞于 6 月披露,该漏洞的漏洞利用于 10 月公开。
发表评论
您还未登录,请先登录。
登录