Más de 1600 instancias de la herramienta de monitoreo de dispositivos Cacti a las que se puede acceder a través de Internet son vulnerables a un problema de seguridad crítico que los piratas informáticos ya han comenzado a explotar.
Cacti es una solución de monitoreo de gestión de fallas y operaciones para dispositivos de red que también proporciona visualización gráfica. Hay miles de instancias implementadas en todo el mundo expuestas en la web.
A principios de diciembre de 2022, un aviso de seguridad advirtió sobre una vulnerabilidad de inyección de comando crítica (rastreada como CVE-2022-46169, clasificación de gravedad 9.8 de 10) en Cacti que podría explotarse sin autenticación.
El desarrollador lanzó una actualización que corrige la vulnerabilidad y también brinda consejos para evitar la inyección de comandos y la omisión de autorización.
Los detalles técnicos sobre el problema y cómo podría aprovecharse comenzaron a surgir el mismo mes, junto con un código de explotación de prueba de concepto (PoC) que podría usarse como arma para ataques.
El 3 de enero, SonarSource, una empresa que ofrece productos de seguridad y calidad de código, publicó un informe técnico de su hallazgo y un breve video que demuestra la vulnerabilidad:
El mismo día, los investigadores de seguridad de The Shadowserver Foundation notaron intentos de explotación que entregaban malware.
Inicialmente, los exploits instalaron botnets, como el malware Mirai. Otro exploit instalado fue el botnet IRC (basado en PERL) que abrió un shell inverso en el host y le indicó que ejecutara escaneos de puertos. Los ataques más recientes solo buscan vulnerabilidades.
Según los datos recopilados por los investigadores de Shadowserver, los intentos de explotación de la vulnerabilidad CVE-2022-46169 en Cacti aumentaron la semana pasada y el recuento total actualmente es inferior a dos docenas.
En un informe de la plataforma de búsqueda de superficie de ataque Censys para dispositivos conectados a Internet, hay 6427 hosts Cacti expuestos en la web. Sin embargo, determinar cuántos ejecutan una versión vulnerable o se han actualizado no es posible para todos ellos.
“ Censys ha observado 6427 hosts en Internet que ejecutan una versión de Cacti. Desafortunadamente, solo podemos ver la versión exacta del software en ejecución cuando un tema específico ( amanecer ) está habilitado en la aplicación web” – Censys
Sin embargo, la empresa pudo contar 1.637 hosts Cacti accesibles a través de la web que eran vulnerables a CVE-2022-46169, muchos de ellos (465) con la versión 1.1.38 de la solución de monitoreo, lanzada en abril de 2021.
De todos los hosts de Cacti para los que Censys pudo determinar el número de versión, solo 26 ejecutaban una versión actualizada que no era vulnerable a la falla crítica.
Desde la perspectiva de un atacante, obtener acceso a la instancia de Cacti de una organización brinda la oportunidad de conocer el tipo de dispositivos en la red y sus direcciones IP locales.
Este tipo de información es una bendición para los piratas informáticos, que obtienen una visión precisa de la red y los hosts que pueden atacar para asegurar su punto de apoyo o pasar a sistemas más valiosos.
Fuente: bleepingcomputer.com