Una cantidad significativa de servidores que usan el software Cacti y están conectados a Internet no se han actualizado para corregir una vulnerabilidad de seguridad que actualmente los atacantes están explotando activamente.
Según Censys , una plataforma para administrar superficies de ataque, solo una pequeña fracción del número total de servidores Cacti que están conectados a Internet se han actualizado a una versión del software que incluye un parche para la vulnerabilidad de seguridad crítica que actualmente se está investigando. explotado.
De un total de 6.427 servidores, solo 26 tenían instalada la versión actualizada de Cacti, versión 1.2.23 y 1.3.0. La implicación es que la mayoría de los servidores no ejecutaban la versión parcheada del software, lo que podría ser un problema de seguridad.
La vulnerabilidad que se analiza, CVE-2022-46169 , es un grave problema de seguridad que permite a una persona no autorizada ejecutar código arbitrario en sistemas que utilizan una versión afectada de Cacti.
Es una combinación de dos tipos de ataque, una omisión de autenticación y una vulnerabilidad de inyección de comandos , que juntos dan como resultado una puntuación CVSS de 9,8. Esta solución de monitoreo de código abierto basada en la web se está explotando activamente en la actualidad.
Al principio, SonarSource identificó esta vulnerabilidad, que afecta a todas las versiones del software que son 1.2.22 y anteriores.
La empresa tomó la medida responsable de divulgar esta información a los encargados del mantenimiento del proyecto el 2 de diciembre de 2022, lo que significa que las personas o los equipos responsables del mantenimiento y la actualización del proyecto fueron informados del problema.
Este es un paso importante para abordar y mitigar la vulnerabilidad, ya que permite a los mantenedores tomar las medidas adecuadas, como lanzar un parche o una actualización para solucionar el problema.
Esta vulnerabilidad existe en la mayoría de las instalaciones de Cacti debido a la implementación incorrecta de la verificación de autorización basada en el nombre de host, lo que permite que la entrada del usuario sin desinfectar pueda ejecutar comandos externos.
La vulnerabilidad se ha hecho pública, lo que ha dado lugar a intentos de explotarla, y Shadowserver Foundation y GreyNoise informaron que se observaron ataques maliciosos desde una dirección IP ubicada en Ucrania.
Este video muestra cómo se puede explotar un servidor que tiene una versión vulnerable de Cacti.
Países donde se encuentran una gran cantidad de servidores sin parchear
La mayoría de las versiones sin parchear (1320) se encuentran en estas ubicaciones: –
- Brasil
- Indonesia
- Los Estados Unidos
- Porcelana
- bangladesh
- Rusia
- Ucrania
- Las Filipinas
- Tailandia
- El Reino Unido
La vulnerabilidad de seguridad en Cacti permite a un atacante no autenticado eludir el proceso de autenticación accediendo a un archivo específico, esto se logra mediante la explotación de un defecto en el software que permite la sanitización inadecuada de un argumento durante el procesamiento de una consulta HTTP específica que está relacionada con un “acción” de sondeo definida en la base de datos. De esta manera, los atacantes pueden obtener acceso no autorizado al sistema.
Es una práctica común que los ciberdelincuentes aprovechen las vulnerabilidades recién descubiertas para lanzar ataques, por lo que es crucial que los usuarios actúen rápido y corrijan las debilidades de seguridad lo antes posible antes de que los atacantes tengan la oportunidad de explotarlas.
Fuente y redacción: gbhackers.com