インターネット経由で到達可能な Cacti デバイス監視ツールの 1,600 以上のインスタンスは、ハッカーがすでに悪用し始めている重大なセキュリティ問題に対して脆弱です。
Cacti は、ネットワーク デバイスの運用および障害管理の監視ソリューションであり、グラフィカルな視覚化も提供します。世界中に展開された何千ものインスタンスが Web 上に公開されています。
2022 年 12 月初旬、セキュリティ アドバイザリは、認証なしで悪用される可能性がある Cacti の重大なコマンド インジェクションの脆弱性 (CVE-2022-46169 として追跡、重大度評価 10 段階中 9.8) について警告しました。
開発者は、脆弱性を修正するアップデートをリリースし、コマンド インジェクションと認証バイパスを防止するためのアドバイスも提供しています。
この問題とそれをどのように利用できるかについての技術的な詳細が、同じ月に明らかになり始め、攻撃のために武器化される可能性のある概念実証 (PoC) のエクスプロイト コードも明らかになりました。
1 月 3 日、コード品質とセキュリティ製品を提供する企業である SonarSource は、調査結果の技術的な記事と脆弱性を示す短いビデオをリリースしました。
同じ日に、 The Shadowserver Foundation のセキュリティ研究者は、マルウェアを配信する悪用の試みに気付きました。
エクスプロイトは当初、Mirai マルウェアなどのボットネットをインストールしました。インストールされた別のエクスプロイトは、ホスト上でリバース シェルを開き、ポート スキャンを実行するように指示する IRC ボットネット (PERL ベース) でした。最近の攻撃は、脆弱性をチェックしているだけです。
Shadowserver の研究者が収集したデータによると、Cacti の CVE-2022-46169 の脆弱性を悪用する試みが先週増加し、現在の総数は 20 を下回っています。
Censys のインターネット接続デバイス向け攻撃面検索プラットフォームのレポートによると、6,427 の Cacti ホストが Web 上に公開されています。ただし、脆弱なバージョンを実行している、または更新している数を特定することは、それらすべてについて可能ではありません。
Censys は、インターネット上で 6,427 のホストが Cacti のバージョンを実行していることを確認しました。残念ながら、特定のテーマ ( 日の出) が Web アプリケーションで有効になっている場合にのみ、実行中のソフトウェアの正確なバージョンを確認できます」 – Censys
ただし、同社は、CVE-2022-46169 に対して脆弱な Web 経由で到達可能な 1,637 の Cacti ホストを数えることができ、そのうちの多く (465) は、2021 年 4 月にリリースされた監視ソリューションのバージョン 1.1.38 を実行しています。
Censys がバージョン番号を特定できたすべての Cacti ホストのうち、重大な欠陥に対して脆弱ではない更新されたリリースを実行していたのは 26 だけでした。
攻撃者の観点からは、組織の Cacti インスタンスへのアクセスを取得すると、ネットワーク上のデバイスの種類とそのローカル IP アドレスについて知る機会が得られます。
この種の情報は、ハッカーにとって恩恵です。ハッカーは、ネットワークと、攻撃できるホストを正確に把握して、足場を確保したり、より価値のあるシステムに移動したりできます。
Comments