Ağ performansını izlemeye yönelik Cacti Web tabanlı açık kaynak çerçevesindeki kritik bir güvenlik açığı, saldırganlara Cacti’nin tüm veritabanı içeriğini ifşa etmelerine olanak tanıyor ve bu da kuruluşlar için ciddi bir risk oluşturuyor.
Binlerce web sitesi, yönlendiriciler, anahtarlar ve sunucular gibi cihazlardan bant genişliği kullanımı, CPU ve bellek kullanımı ve disk G/Ç ile ilgili ağ performansı bilgilerini toplamak için Cacti’yi kullanıyor. Kuruluşlar, toplanan verileri Round Robin Database yardımcı programını (RRDTool) doldurmak ve böylece ondan grafik ve görsel ölçümler oluşturmak için kullanır.
Bu nedenle, bir kuruluş içindeki BT ayak izinin tamamına ulaşarak siber saldırganlar için paha biçilmez keşif fırsatlarının yanı sıra ağın daha derinlerine inmek için bir pivot noktası sunuyor.
Daha da önemlisi, bir saldırgan CVE-2023-51448’i daha önce açıklanan başka bir Cacti güvenlik açığıyla da zincirleyebilir: CVE-2023-49084 — Savunmasız sistemlerde uzaktan kod yürütmeyi (RCE) sağlamak için.
Kaktüslerde CVE-2023-51448: Yetersiz Sterilizasyon
Şu şekilde izlenen güvenlik açığı: CVE-2023-51448, Cacti 1.2.25 sürümünde mevcuttur. Kaktüsler var güncellenmiş bir sürümünü yayınladı hatayı gideren yazılımın.
Sorun, uygulamanın giriş verilerini düzgün bir şekilde temizlememesi ve dolayısıyla yolu açık bırakmasıyla ilgilidir. kör SQL enjeksiyon saldırısı. GitHub, bu güvenlik açığına CVSS 3.1 ölçeğinde olası maksimum 10 üzerinden 8,8 önem derecesi atadı ve bunu bir saldırganın yararlanabilmesi için yalnızca düşük ayrıcalıklara sahip olmasını gerektiren bir sorun olarak tanımladı.
Synopsys’ten bir güvenlik araştırmacısı olan Matthew Hogg
güvenlik açığını keşfetti ve bunu geçen ay Cacti’nin bakımcılarına bildiren bir saldırganın, kusurdan yararlanabilmesi için “Yerleştirme/Yardımcı Programlar” ayrıcalığına sahip, kimliği doğrulanmış bir hesaba ihtiyacı olacağını söyledi.
Hogg, “Kötü niyetli bir aktör canlı sistemleri sorgulamak için Shodan gibi bir hizmeti kullanabileceğinden, Cacti’yi çalıştıran sistemleri bulmak çok kolay” diyor. “Kötü niyetli bir aktör, [Shodan]faaliyetlerine odaklanmak için savunmasız sürümleri çalıştıran sistemleri bulmak amacıyla ilk keşiflerini otomatikleştirebilir.”
Pazartesi sabahı itibariyle, bir Shodan aramasında Cacti’nin savunmasız sürümlerini çalıştıran 4.000’den fazla Cacti ana bilgisayarının listelendiği belirtiliyor.
Hogg’a göre, CVE-2023-51448’i tetiklemek için, Ayarlar/Yardımcı Programlar ayrıcalıklarına sahip kimliği doğrulanmış bir saldırganın ‘/managers.php’ uç noktasına SQL enjeksiyon yüküyle özel hazırlanmış bir HTTP GET isteği göndermesi gerekir.
Hogg, “Bir saldırgan, kör bir SQL tekniği kullanarak Cacti veritabanı içeriğini açığa çıkarabilir veya uzaktan kod yürütmeyi (RCE) tetikleyebilir” diyor.
Kör SQL, Toplu Saldırıların Olasılıksız Olduğu, Hala Zorlu Bir Sorun Demektir
Kör SQL enjeksiyon saldırısında saldırganlar, enjekte edilen SQL sorgusunun doğrudan sonucunu görmezler. Bunun yerine, uygulamanın nasıl yanıt verebileceğine dayanarak bunu denemeleri ve çıkarım yapmaları gerekir.
Hogg, hata mesajları ve zamanlama gecikmeleri gibi harici bilgi kaynaklarına atıfta bulunarak, “Kör genellikle sonuçların doğrudan saldırgana gönderilmediği, ancak bir kehanet kullanılarak bant dışı çıkarımlarda bulunulduğu SQL enjeksiyonunu tanımlamak için kullanılır” diyor. “Bu durumda, bazı Boole koşullarının karşılanıp karşılanmadığını kontrol etmek için zamana dayalı bir kahin kullanılabilir. Yanıt süreleri arasındaki fark, koşulun karşılanıp karşılanmadığını değerlendirmek için kullanılır; bu, örneğin, bir karakterin değerini kontrol etmek olabilir. Saldırgan sızıntı yapmak istiyor.”
Kör SQL enjeksiyon saldırılarının kitlesel ölçekte gerçekleştirilmesi zordur. Ancak Hogg, gerekli ayrıcalıklara sahip bir hesaba erişimi olan bir saldırganın Cacti’deki güvenlik açığından kolaylıkla yararlanabileceğini belirtiyor. “Kör SQL Enjeksiyonlarının yürütülmesi kolaydır, ancak saldırı vektörünün doğası nedeniyle istismar edilmesi zordur.”
Ancak güvenlik araştırmacısı, güvenlik açığının yukarıda belirtilen hatayla zincirleme potansiyeline atıfta bulunarak şunları söylüyor: “CVE-2023-49084 ön koşullarını karşılayan yetkin bir saldırgan, CVE-2023-51448’i önemsiz bir şekilde çalıştırabilir.”
En son güvenlik açığı, araştırmacıların geçen yıl Cacti’de bildirdiği birkaç güvenlik açığından biri. Aralarında en ciddi olanlardan biri de CVE-2022-46169, Geçtiğimiz Ocak ayında açıklanan, kimliği doğrulanmamış bir komut ekleme güvenlik açığı, birkaç ay sonra kamuya açık hale geldi. Bir diğeri CVE-2023-39362Haziran ayında açıklanan ve güvenlik açıklarının Ekim ayında kamuya açık hale geldiği bir güvenlik açığı.