Χάκερ εκμεταλλεύονται κρίσιμο σφάλμα Cacti για να εγκαταστήσουν malware

Επί του παρόντος, 1.600 instances του ευρέως χρησιμοποιούμενου εργαλείου παρακολούθησης συσκευών Cacti είναι εκτεθειμένα και ευάλωτα σε ένα κρίσιμο ελάττωμα ασφαλείας, το οποίο αποτελεί άμεση απειλή, καθώς οι χάκερ έχουν ήδη αρχίσει να εκμεταλλεύονται την ευπάθεια αυτή.

Δείτε επίσης: Android TV box στο Amazon είχε προεγκατεστημένο malware

Το Cacti είναι μια ιδιαίτερα περιζήτητη, ισχυρή λύση για συσκευές δικτύου που προσφέρει παρακολούθηση τόσο της λειτουργίας όσο και της διαχείρισης βλαβών. Οι δυνατότητες απεικόνισης γραφικών παραστάσεων το καθιστούν μοναδικό, εδραιώνοντας τη φήμη του ως την επιλογή χιλιάδων ανθρώπων σε όλο τον κόσμο, οι οποίοι μπορούν να έχουν πρόσβαση σε αυτό μέσω διαδικτυακών πλατφορμών με ευκολία.

Δείτε επίσης: Norton LifeLock: Παραβίαση λογαριασμών χιλιάδων πελατών

Στις 2 Δεκεμβρίου 2022, μια ανακοίνωση ασφαλείας προειδοποίησε για την επικίνδυνη ευπάθεια command injection (επίσης γνωστή ως CVE-2022-46169) που είχε εντοπιστεί στο Cacti – πήρε βαθμολογία σοβαρότητας 9,8 στα 10 και μπορούσε να αξιοποιηθεί χωρίς authentication!

Ο προγραμματιστής κυκλοφόρησε πρόσφατα μια ενημερωμένη έκδοση που όχι μόνο επιδιορθώνει την ευπάθεια, αλλά προσφέρει και χρήσιμες συμβουλές για το πώς να αποτρέψετε το command injection και την παράκαμψη authorization.

Τον ίδιο μήνα, άρχισαν να εμφανίζονται τεχνικές λεπτομέρειες για το πώς αυτή η ευπάθεια θα μπορούσε να γίνει abused. Επιπλέον, κυκλοφόρησε και κώδικας exploit “evidence-of-concept” (PoC) που είχε ήδη χρησιμοποιηθεί ως όπλο για κακόβουλες πράξεις.

Στις 3 Ιανουαρίου, η SonarSource παρουσίασε ένα τεχνικό κείμενο και ένα βίντεο για να παρουσιάσει την επαναστατική ανακάλυψη μιας υπάρχουσας ευπάθειας. Ως ηγέτης στα προϊόντα ποιότητας κώδικα και ασφάλειας, ήθελαν το κοινό να γνωρίζει τι θα μπορούσε δυνητικά να προκαλέσει βλάβη εάν δεν λαμβανόταν σοβαρά υπόψη.

Την ίδια ημέρα, οι ειδικοί ασφαλείας του The Shadowserver Foundation παρατήρησαν την εισαγωγή κακόβουλου λογισμικού σε δίκτυα μέσω προσπαθειών exploitation.

Αρχικά, τα exploits δημιούργησαν κακόβουλα botnets όπως το κακόβουλο λογισμικό Mirai. Ένα άλλο exploit που εγκαταστάθηκε ήταν το IRC botnet (βασισμένο σε PERL) που άνοιξε ένα reverse shell στον host και του έδωσε εντολή να εκτελέσει σαρώσεις θυρών. Οι πιο πρόσφατες επιθέσεις απλώς ελέγχουν για ευπάθεια.

Την περασμένη εβδομάδα, ο βαθμός των προσπαθειών exploitation του CVE-2022-46169 στο Cacti σημείωσε ανησυχητική αύξηση σύμφωνα με τους ερευνητές της Shadowserver. Ο αριθμός αυτός έχει πλέον αυξηθεί σε σχεδόν 24 instances.

Μια μελέτη της Censys σχετικά με συσκευές που συνδέονται στο Διαδίκτυο αποκάλυψε 6.427 ευάλωτα Cacti hosts που είναι διαθέσιμα στο διαδίκτυο. Ωστόσο, είναι αδύνατο να προσδιορίσουμε πόσα από αυτά τρέχουν μια ευάλωτη έκδοση.

Δείτε επίσης: Υποκλοπές: Η ΑΠΔΠΧ επέβαλλε πρόστιμο στην Intellexa για μη συνεργασία

Συνολικά, η εταιρεία εντόπισε 1.637 Cacti hosts προσβάσιμα στο διαδίκτυο που ήταν ευάλωτα στο CVE-2022-46169. Τα 465 από αυτά τα συστήματα έτρεχαν την έκδοση 1.1.38 της λύσης παρακολούθησης (η οποία κυκλοφόρησε τον Απρίλιο του 2021).

Από τους υπολογιστές Cacti που αναλύθηκαν από την Censys, μόνο 26 έτρεχαν μια ενημερωμένη έκδοση που δεν ήταν ευάλωτη σε κάποιο κρίσιμο ελάττωμα ασφαλείας.

Από την οπτική γωνία ενός εισβολέα, η απόκτηση πρόσβασης στο παράδειγμα Cacti ενός οργανισμού παρέχει την ευκαιρία να μάθετε για τον τύπο των συσκευών στο δίκτυο και τις τοπικές διευθύνσεις IP τους.

Αυτό το είδος πληροφοριών είναι ένα όφελος για τους χάκερ, οι οποίοι έχουν μια ακριβή εικόνα του δικτύου και των host που μπορούν να επιτεθούν για να εξασφαλίσουν τη θέση τους ή να μετακινηθούν σε πιο πολύτιμα συστήματα.

Πηγή πληροφοριών: bleepingcomputer.com