Хакеры используют критическую ошибку Cacti для установки вредоносного ПО

Хакеры используют критическую ошибку Cacti для установки вредоносного ПО. Фото: СС0 

Cacti — это решение для мониторинга работы и управления неисправностями сетевых устройств, которое также обеспечивает графическую визуализацию. В Интернете развернуты тысячи экземпляров по всему миру.

В начале декабря 2022 года исследователи предупредили о критической уязвимости внедрения команд (CVE-2022-46169, рейтинг серьезности 9,8 из 10) в Cacti, которую можно использовать без аутентификации.

Разработчик выпустил обновление, устраняющее уязвимость, а также дал рекомендации по предотвращению внедрения команд и обхода авторизации.

В том же месяце начали появляться технические подробности о проблеме и о том, как ее можно использовать, а также код эксплойта для проверки концепции (PoC), который можно использовать для атак.

3 января SonarSource, компания, которая предоставляет продукты для обеспечения качества кода и безопасности, опубликовала технический отчет об уязвимости.

В тот же день исследователи безопасности из The Shadowserver Foundation заметили попытки эксплуатации эксплуатации с доставкой вредоносного ПО.

Первоначально эксплойты устанавливали ботнеты. Среди них - IRC (на основе PERL), который открывал обратную оболочку на хосте и инструктировал его запускать сканирование портов. 

Согласно данным, собранным исследователями Shadowserver, количество попыток эксплуатации уязвимости CVE-2022-46169 в Cacti на прошлой неделе увеличилось, и в настоящее время их общее число составляет менее двух десятков.

В отчете платформы Censys для устройств, подключенных к Интернету, в сети обнаружено 6427 хостов Cacti. Однако определить, сколько из них запустили уязвимую версию или обновили ее, невозможно.

Из сообщения Censys:

«Censys наблюдала за 6 427 хостами в Интернете, на которых установлена ​​версия Cacti. К сожалению, мы можем видеть точную версию запущенного программного обеспечения».

Тем не менее, компания смогла насчитать 1637 хостов Cacti, доступных через Интернет, которые были уязвимы для CVE-2022-46169. Многие из них (465) работали под управлением версии 1.1.38, выпущенной в апреле 2021 года.

Из всех хостов Cacti, для которых Censys смогла определить номер версии, только на 26 была запущена обновленная версия, не уязвимая для критической уязвимости.

С точки зрения злоумышленника, получение доступа к экземпляру Cacti организации дает возможность узнать о типе устройств в сети и их локальных IP-адресах.

Этот тип информации является ценной для хакеров, которые получают точное представление о сети и хостах, которые они могут атаковать, чтобы закрепиться или перейти на более ценные системы.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• В PyPl были обнаружены ключи AWS.
• Выявлена опасная кампания по распространению вредоносного ПО для атак на кластеры Kubernetes.
• Хакерская группа перехватывает USB-атаки других преступников.