La mayoría de los servidores Cacti expuestos a Internet no se han parcheado contra una vulnerabilidad de seguridad crítica parcheada recientemente que se ha explotado activamente en la naturaleza.
Eso es según la plataforma de administración de superficie de ataque Censys, que encontrado solo 26 de un total de 6.427 servidores ejecutan un versión parcheada de Cactus (1.2.23 y 1.3.0).
Él asunto en cuestión se relaciona con CVE-2022-46169 (Puntuación CVSS: 9,8), una combinación de omisión de autenticación e inyección de comandos que permite a un usuario no autenticado ejecutar código arbitrario en una versión afectada de la solución de monitoreo de código abierto basada en la web.
Los detalles sobre la falla, que afecta a las versiones 1.2.22 y anteriores, fueron revelados por primera vez por SonarSource. La falla se informó a los mantenedores del proyecto el 2 de diciembre de 2022.
«Una verificación de autorización basada en el nombre del host no se implementa de manera segura para la mayoría de las instalaciones de Cacti», el investigador de SonarSource Stefan Schiller señalado a principios de este mes, agregó que «la entrada de usuario no desinfectada se propaga a una cadena utilizada para ejecutar un comando externo».
La divulgación pública de la vulnerabilidad también ha dado lugar a «intentos de explotación», con la Fundación Shadowserver y grisruido advertencia de ataques maliciosos que se originan desde una dirección IP ubicada en Ucrania hasta el momento.
La mayoría de las versiones sin parchear (1320) se encuentran en Brasil, seguido de Indonesia, EE. UU., China, Bangladesh, Rusia, Ucrania, Filipinas, Tailandia y el Reino Unido.
Vulnerabilidad de SugarCRM explotada activamente para descartar Web Shells
El desarrollo viene como SugarCRM correcciones enviadas por una vulnerabilidad divulgada públicamente que también ha sido armada activamente para colocar un shell web basado en PHP en 354 hosts únicos, Censys dicho en una asesoría independiente.
El error, rastreado como CVE-2023-22952, se refiere a un caso de falta de validación de entrada que podría resultar en la inyección de código PHP arbitrario. Se ha abordado en las versiones 11.0.5 y 12.0.2 de SugarCRM.
En los ataques detallados por Censys, el shell web se usa como conducto para ejecutar comandos adicionales en la máquina infectada con los mismos permisos que el usuario que ejecuta el servicio web. La mayoría de las infecciones se informaron en los EE. UU., Alemania, Australia, Francia y el Reino Unido.
No es raro que los actores maliciosos aprovechen las vulnerabilidades recientemente reveladas para llevar a cabo sus ataques, por lo que es imperativo que los usuarios se muevan rápidamente para tapar los agujeros de seguridad.