Хакеры используют критическую ошибку Cacti для установки вредоносного ПО
Хакеры используют критическую ошибку Cacti для установки вредоносного ПО. Фото: СС0
Cacti — это решение для мониторинга работы и управления неисправностями сетевых устройств, которое также обеспечивает графическую визуализацию. В Интернете развернуты тысячи экземпляров по всему миру.
В начале декабря 2022 года исследователи предупредили о критической уязвимости внедрения команд (CVE-2022-46169, рейтинг серьезности 9,8 из 10) в Cacti, которую можно использовать без аутентификации.
Разработчик выпустил обновление, устраняющее уязвимость, а также дал рекомендации по предотвращению внедрения команд и обхода авторизации.
В том же месяце начали появляться технические подробности о проблеме и о том, как ее можно использовать, а также код эксплойта для проверки концепции (PoC), который можно использовать для атак.
3 января SonarSource, компания, которая предоставляет продукты для обеспечения качества кода и безопасности, опубликовала технический отчет об уязвимости.
В тот же день исследователи безопасности из The Shadowserver Foundation заметили попытки эксплуатации эксплуатации с доставкой вредоносного ПО.
Первоначально эксплойты устанавливали ботнеты. Среди них - IRC (на основе PERL), который открывал обратную оболочку на хосте и инструктировал его запускать сканирование портов.
Согласно данным, собранным исследователями Shadowserver, количество попыток эксплуатации уязвимости CVE-2022-46169 в Cacti на прошлой неделе увеличилось, и в настоящее время их общее число составляет менее двух десятков.
В отчете платформы Censys для устройств, подключенных к Интернету, в сети обнаружено 6427 хостов Cacti. Однако определить, сколько из них запустили уязвимую версию или обновили ее, невозможно.
Из сообщения Censys:
«Censys наблюдала за 6 427 хостами в Интернете, на которых установлена версия Cacti. К сожалению, мы можем видеть точную версию запущенного программного обеспечения».
Тем не менее, компания смогла насчитать 1637 хостов Cacti, доступных через Интернет, которые были уязвимы для CVE-2022-46169. Многие из них (465) работали под управлением версии 1.1.38, выпущенной в апреле 2021 года.
Из всех хостов Cacti, для которых Censys смогла определить номер версии, только на 26 была запущена обновленная версия, не уязвимая для критической уязвимости.
С точки зрения злоумышленника, получение доступа к экземпляру Cacti организации дает возможность узнать о типе устройств в сети и их локальных IP-адресах.
Этот тип информации является ценной для хакеров, которые получают точное представление о сети и хостах, которые они могут атаковать, чтобы закрепиться или перейти на более ценные системы.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было