Профильные эксперты сообщили, что хакеры начали активно использовать критическую уязвимость CVE-2022-46169 в популярной системе мониторинга и анализа сети Cacti.
Специалисты ИБ выяснили, что хакеры используют эксплойты, позволяющие удалённо проводить на работающих в компаниях системах Cacti версий 1.2.22 и ниже установку вредоносного ПО без аутентификации. Уязвимость закрыта в Cacti 1.2.23, но многие системные администраторы до сих пор не обновили свои инстансы системы мониторинга.
Уязвимость CVE-2022-46169 позволяет неавторизованным пользователям проводить инъекцию команд с последующим выполнением произвольного кода, если на устройстве жертвы был выбран определённый источник данных. Проблема возникает из-за неправильной работы функции remote_client_authorized (проверка авторизации на основе имени хоста не реализована безопасно для большинства установок Cacti) и ошибках в функции poll_for_data (позволяет внедрить код) в скрипте remote_agent.php.
Эксперты советуют системным администраторам как можно скорее обновить Cacti до версии 1.2.23 для нейтрализации атак злоумышленников с помощью уязвимости CVE-2022-46169. Сканирование ИБ-компании Censys показало, что в мире для удалённого доступа извне открыты 1637 хостов Cacti, которые уязвимы для CVE-2022-46169. Причём 465 из них работают под управлением Cact версии 1.1.38, выпущенной в апреле 2021 года. Из всех открытых хостов Cacti, до которых эксперты Censys смогли достучаться, только на 26 инстансах стояла Cacti версии 1.2.23.
ссылка на оригинал статьи https://habr.com/ru/articles/710804/
Добавить комментарий