WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hacker khai thác lỗi nghiêm trọng của Cacti cài mã độc
Hơn 1.600 các phiên bản của Cacti có nguy cơ bị khai thác qua một lỗ hổng nghiêm trọng. Cacti là một giải pháp giám sát quản lý lỗi và vận hành cho các thiết bị mạng cung cấp hình ảnh đồ họa.
Vào đầu tháng 12 năm 2022, một cố vấn bảo mật đã cảnh báo về lỗ hổng chèn lệnh nghiêm trọng (được theo dõi là CVE-2022-46169, xếp hạng mức độ nghiêm trọng 9,8 trên 10) trong Cacti có thể bị khai thác mà không cần xác thực.
Nhà phát triển đã phát hành bản cập nhật khắc phục lỗ hổng, đồng thời cung cấp lời khuyên để ngăn chặn việc chèn lệnh và bỏ qua ủy quyền.
Chi tiết lỗi và cách khai thác cũng đã xuất hiện cùng với mã khai thác bằng chứng khái niệm (PoC) có thể được sử dụng cho các cuộc tấn công.
Vào ngày 3 tháng 1, SonarSource, một công ty cung cấp các sản phẩm bảo mật đã phát hành một bản báo cáo kỹ thuật và đoạn video ngắn chứng minh lỗ hổng bảo mật:
Cùng ngày, các nhà nghiên cứu bảo mật tại The Shadowserver Foundation nhận thấy các nỗ lực khai thác đã phát tán phần mềm độc hại.
Ban đầu, việc khai thác cài đặt các botnet, chẳng hạn như phần mềm độc hại Mirai. Một khai thác khác được cài đặt là IRC botnet (dựa trên PERL) mở một trình đảo ngược trên máy chủ và chạy quét cổng. Các cuộc tấn công gần đây chỉ là kiểm tra lỗ hổng.
Theo dữ liệu được thu thập bởi các nhà nghiên cứu của Shadowserver, các nỗ lực khai thác lỗ hổng CVE-2022-46169 trong Cacti đã tăng lên vào tuần trước.
Trong một báo cáo từ Censys dành cho các thiết bị kết nối Internet, có 6.427 máy chủ Cacti bị lộ trên web. Tuy nhiên, không thể xác định có bao nhiêu phiên bản có lỗi đã được cập nhật.
Tuy nhiên, thống kê được 1.637 máy chủ Cacti có thể truy cập qua web dễ bị tấn công bởi CVE-2022-46169, nhiều máy chủ trong số đó (465) đang chạy phiên bản 1.1.38 của giải pháp giám sát, được phát hành vào tháng 4 năm 2021.
Trong số tất cả các máy chủ Cacti mà Censys có thể xác định số phiên bản, chỉ có 26 máy chủ đang chạy bản phát hành cập nhật không dễ bị lỗ hổng nghiêm trọng.
Từ phía hacker, việc giành quyền truy cập vào phiên bản Cacti của một tổ chức sẽ tạo cơ hội tìm hiểu về loại thiết bị trên mạng và địa chỉ IP cục bộ.
Vào đầu tháng 12 năm 2022, một cố vấn bảo mật đã cảnh báo về lỗ hổng chèn lệnh nghiêm trọng (được theo dõi là CVE-2022-46169, xếp hạng mức độ nghiêm trọng 9,8 trên 10) trong Cacti có thể bị khai thác mà không cần xác thực.
Nhà phát triển đã phát hành bản cập nhật khắc phục lỗ hổng, đồng thời cung cấp lời khuyên để ngăn chặn việc chèn lệnh và bỏ qua ủy quyền.
Chi tiết lỗi và cách khai thác cũng đã xuất hiện cùng với mã khai thác bằng chứng khái niệm (PoC) có thể được sử dụng cho các cuộc tấn công.
Vào ngày 3 tháng 1, SonarSource, một công ty cung cấp các sản phẩm bảo mật đã phát hành một bản báo cáo kỹ thuật và đoạn video ngắn chứng minh lỗ hổng bảo mật:
Cùng ngày, các nhà nghiên cứu bảo mật tại The Shadowserver Foundation nhận thấy các nỗ lực khai thác đã phát tán phần mềm độc hại.
Ban đầu, việc khai thác cài đặt các botnet, chẳng hạn như phần mềm độc hại Mirai. Một khai thác khác được cài đặt là IRC botnet (dựa trên PERL) mở một trình đảo ngược trên máy chủ và chạy quét cổng. Các cuộc tấn công gần đây chỉ là kiểm tra lỗ hổng.
Theo dữ liệu được thu thập bởi các nhà nghiên cứu của Shadowserver, các nỗ lực khai thác lỗ hổng CVE-2022-46169 trong Cacti đã tăng lên vào tuần trước.
Trong một báo cáo từ Censys dành cho các thiết bị kết nối Internet, có 6.427 máy chủ Cacti bị lộ trên web. Tuy nhiên, không thể xác định có bao nhiêu phiên bản có lỗi đã được cập nhật.
Tuy nhiên, thống kê được 1.637 máy chủ Cacti có thể truy cập qua web dễ bị tấn công bởi CVE-2022-46169, nhiều máy chủ trong số đó (465) đang chạy phiên bản 1.1.38 của giải pháp giám sát, được phát hành vào tháng 4 năm 2021.
Trong số tất cả các máy chủ Cacti mà Censys có thể xác định số phiên bản, chỉ có 26 máy chủ đang chạy bản phát hành cập nhật không dễ bị lỗ hổng nghiêm trọng.
Từ phía hacker, việc giành quyền truy cập vào phiên bản Cacti của một tổ chức sẽ tạo cơ hội tìm hiểu về loại thiết bị trên mạng và địa chỉ IP cục bộ.
Theo: Bleeping computer
Chỉnh sửa lần cuối: