مقدمه
به تازگی نسخه جدیدی از بات نت Medusa ظهور یافته که علاوه بر قابلیت انجام حملات DDoS، قابلیت بروت فرس سرویس Telnet و حملات باج افزاری را نیز دارد. این بدافزار از سورس کد منتشر شده mirai اقتباس شده و کاربران لینوکسی را مورد هدف قرار داده است.
اخیرا نسخه جدیدی از بات‏نت mirai کشف شده که بات نت جدیدی با نام Medusa را دانلود و منتشر می‏کند. این بات‏نت قابلیت اجرای حملات منع خدمت در سطوح مختلف سلسله مراتب شبکه شامل لایه‏‌های 3، 4 و 7 را دارد. این حملات با استفاده از آدرس IP ماشین‌‏های قربانیان یا آدرس‌‏های IP جعلی انجام می‌‏شود. این بات‏نت همچنین می‌‏تواند روی ماشین‏‌های هدف، حملات باج‏‌افزاری انجام دهد. برای رمز کردن فایل‏‌های سیستم از الگوریتم رمزنگاری AES 256-bit استفاده و به انتهای فایل‏های رمز شده پسوند .medusastealer را اضافه‏ می‏شود. پس از رمز کردن فایل‏ها،  بدافزار به مدت 24 ساعت صبر کرده و سپس تمامی فایل‏ها را از سیستم حذف می‏‌کند. در نهایت باج‌افزار پیام دریافت باج که حاوی راهنمای بازگشایی فایل‏های رمز شده است به کاربر نمایش می‏‌دهد. البته نمایش این پیام پس از حذف فایل‏ها، باگ بدافزار است که نشان دهنده این است که بدافزار هنوز در حال توسعه است و انتظار نسخه‏های پیشرفته‏‌تری از آن می‏رود.
 

Medusa همچنین می‌‏تواند دستگاههای متصل به اینترنت را به منظور شناسایی سرویس‏های Telnet اسکن کند و روی سرویس‌‏های Telnet حملات بروت فرس انجام دهد. بدافزار همچنین قابلیت دریافت فرمان FivemBackdoor و sshlogin را دارد که اجازه دسترسی به درب پشتی بر روی سیستم قربانیان را می‏دهد. Medusa همچنین اطلاعات مختلفی از سیستم شامل نام کاربری، نام میزبان، آدرس IP ، سیستم عامل، مصرف CPU و RAM، تعداد کل هسته‏های CPU، شناسه یکتای سیستم را جمع‏آوری و برای سرور راه دور به آدرس hxxps://medusa-stealer[.]cc/add/bot ارسال می‏کند. 

توصیه‌‏های امنیتی

•  استفاده از رمزعبورهای قوی و استفاده از احراز هویت چندفاکتوره تا جای ممکن
• به روز رسانی و ارتقای رایانه، تلفن همراه و سایر دستگاه‏های متصل
• خودداری از بازکردن لینک‏‌ها و ضمیمه‏‌های ناشناخته بدون وارسی آنها 

منبع خبر

مقدمه
OpenSSL یکی از پر استفاده‌ترین کتابخانه‌های رمزنگاری، برای هشت آسیب‌‏پذیری پرخطر خود اصلاحیه امنیتی منتشر کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به حمله انکار سرویس (DoS) و افشای محتویات حافظه شوند.
جزئیات آسیب‌پذیری
آسیب‏‌پذیری‏‌های مذکور شامل هفت آسیب‏‌پذیری مخرب حافظه با شناسه‌های CVE-2023-0286، CVE-2022-4203، CVE-2023-0215، CVE-2022-4450، CVE-2023-0216، CVE-2023-0217، CVE-2023-0401 و آسیب‏‌پذیری هشتم  CVE-2022-4304  مرتبط با حمله کانال جانبی مبتنی بر زمان در رمزگشایی RSA است.
 محصولات تحت تأثیر
 نسخه‌های 3.0، 1.1.1 و 1.0.2 تحت‌‎تأثیر آسیب‌پذیری‏‌های مذکور هستند.
توصیه‌های امنیتی
اگر از این کتابخانه معروف استفاده می‌کنید، همین امروز به رسانی‌های لازم را انجام دهید:
•    کاربران OpenSSL نسخه‌ 3.0.0 می‌بایست در اسرع وقت به OpenSSL نسخه 3.0.8 ارتقا یابند. 
•    کاربران OpenSSL نسخه‌ 1.1.1 می‌بایست در اسرع وقت به OpenSSL نسخه  1.1.1t ارتقا یابند. 
•    کاربران OpenSSL نسخه‌ 1.0.2 می‌بایست در اسرع وقت به OpenSSL نسخه 1.0.2zg ارتقا یابند. 
منبع خبر

به تازگی محققان بدافزار پیشرفته‌ای با نام HeadCrab کشف کرده‌اند که فعالیت خود را از اوایل سپتامبر 2021 آغاز کرده است. این بدافزار سرورهای Redis را با هدف استفاده از منابع سرور برای کاوش ارز دیجیتال آلوده می‌کند. این بدافزار تاکنون حدود 1200 سرور Redis را آلوده کرده است. در حالی که حدود 2800 سرور آلوده نشده هنوز در معرض خطر هستند. 
Headcrab به صورت مقیم در حافظه طراحی شده و با اسکن توسط آنتی ویروس‌‏های سنتی قابل شناسایی نیست. در این حمله مهاجمان از فرمان SLAVEOF استفاده می‌کنند تا سرور قربانی را سرور SLAVE برای سرور دیگری که تحت کنترل مهاجم است قرار دهند. به این ترتیب با همگام‌سازی دو سرور، ماژول بدخواه Redis که در واقع همان بدافزار HeadCrab است از سرور تحت کنترل مهاجم بر روی سرور قربانی دانلود می‌شود. با لود شدن این ماژول در سرور Redis، مهاجم قابلیت‌های مختلفی اعم از کنترل کامل سرور بدست می‌آورد. هدف اصلی اجرای این بدافزار سوء استفاده از منابع سرور برای استخراج ارز دیجیتال است. 
به منظور مقابله با این بدافزار و سایر تهدیدات مرتبط باRedis ، توصیه می‌شود :

• سرورهای Redis را مستقیماً در معرض اینترنت قرار ندهید. 
• در صورتی که دسترسی به سرور Redis از طریق اینترنت ضروری است، این ارتباط را تنها برای آدرس‌های قابل اعتماد فعال کنید. 
• در صورتی که فرمان Slaveof در سرور فعال است، آن را غیرفعال کنید. 

منبع خبر

مقدمه
یک آسیب‌پذیری احراز هویت در سرور Jira Service Management و دیتاسنتر کشف شده است که به مهاجم اجازه می‌دهد هویت کاربر دیگری را جعل کند و تحت شرایط خاصی و از راه دور به سیستم دسترسی پیدا کند.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسهCVE-2023-22501، شدت بحرانی با امتیاز 9.4 ردیابی می‌شود. در صورتی که مهاجم به User Directory و ایمیل‌های خروجی در مدیریت سرویس Jira دسترسی پیدا کند، می‌تواند به توکن‌های ثبت‌نامی ارسال شده به کاربرانی با حساب‌های کاربری که تاکنون وارد آن نشده‌اند، دسترسی پیدا کنند. دسترسی به این توکن‌ها در دو صورت امکان‌پذیر است:

• به دلیل تعاملات مکرر با سایر کاربران، احتمال قرار گرفتن مهاجم در مسائل یا درخواست‌های jira  افزایش یابد
• اگر مهاجم به ایمیل‌های حاوی پیوند “View Request” از این کاربران دسترسی پیدا کند 

این آسیب‌پذیری به طور خاص برای هدف قراردادن حساب‌های کاربری ربات مورد استفاده قرار می‌گیرد. در نرم‌افزارهای jiraای که احراز هویت دو مرحله‌ای یا single sign-on در آنها فعال است، حساب‌های کاربری external customer می‌توانند در پروژه‌هایی که هر کسی می‌تواند حساب کاربری خود را ایجاد کند، تحت تاثیر قرار گیرد.
محصولات تحت تأثیر
نسخه‌های 5.3.0، 5.3.1، 5.3.2، 5.4.0، 5.4.1 و 5.5.0 تحت تاثیر ان آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
نسخه‌های 5.3.3، 5.4.2، 5.5.1 و 5.6.0 نسخه‌های وصله شده‌ای هستند که شرکت atlassian برای رفع آسیب‌پذیری فوق منتشر کرده است. به کاربران توصیه می‌شود هر چه سریعتر نسبت به بروزرسانی نرم‌افزار خود اقدام نمایند.

منبع خبر

https://jira.atlassian.com/browse/JSDSERVER-12312

گزارشات بدست آمده از رخدادهای حملات باج‌افزاری اخیر نشان می‌دهد که موج جدیدی از حملات باج‌افزاری، سرورهای VMware ESXi را هدف قرار داده‌اند. بر اساس آمارهای جهانی، تمرکز این حملات بیشتر در کشورهای اروپایی بوده است. اما در روزهای اخیر گزارشاتی از حملات مشابه در کشور نیز دریافت شده است.
بر اساس بررسی‌های اولیه صورت گرفته، احتمال اینکه رخدادهای مذکور به باج‌افزار Nevada و سوءاستفاده از آسیب‌پذیری CVE-2021-21974 ارتباط داشته باشند زیاد است. ظاهراً این حملات از طریق پورت 427 مربوط به سرویس OpenSLP صورت گرفته و نسخه‌های ESXi قبل از 7.0.U3i را تحت تاثیر قرار داده‌اند. VMware اکیداً توصیه می‌کند که سرویس OpenSLP را در سرور ESXi غیرفعال نموده و آخرین وصله‌های امنیتی را نصب نمایید.
با توجه به اینکه در حال حاضر فایل‌های رمزگذاری شده توسط باج‌افزار Nevada غیرقابل رمزگشایی هستند توصیه می‌گردد علاوه بر موارد فوق، اقدامات زیر را در اسرع وقت در دستور کار قرار دهید:
1.از قرار دادن مستقیم ESXi و VCenter بر روی بستر اینترنت به شدت پرهیز کنید.
2. از راهکارهای پشتیبان‌گیری از ماشین‌های مجازی استفاده کنید و حتماً نسخه‌های آفلاین را در مکان‌های قابل اطمینان نگهداری کنید.
3.سرویس‌های غیرضروری ESXi را غیر فعال کنید. در صورت امکان، دسترسی به ESXi را از طریق ACL به آی‌پی‌های خاص محدود کنید.
 

مقدمه
چند آسیب‌پذیری با شناسه CVE-2022-45808 در نسخه‌های 4.1.7.3.2 و قبل‌تر افزونه LearnPress سیستم مدیریت محتوای وردپرس کشف شده که امکان اجرای دستورات SQL از راه دور و الحاق پرونده محلی را فراهم می‌کند.
جزئیات آسیب‌پذیری
افزونه LearnPress با بیش از 100 هزار نصب، یک افزونه جامع LMS برای سیستم مدیریت محتوای وردپرس است. با استفاده از این افزونه محبوب می‌توان دروس آنلاین را ایجاد کرده و به فروش رساند. این افزونه قابلیت ایجاد دوره آموزشی همراه با کوییز را توسط یک رابط کاربری ساده فراهم می‌نماید. در نسخه 4.1.7.3.2 و قبل‌تر این افزونه تعدادی آسیب‌‌پذیری بحرانی پیدا شده که به مهاجمان اجازه می‌دهد بدون تصدیق هویت دستورات SQL را به پایگاه داده تزریق نموده و یا Local File Inclusion انجام دهند. یک آسیب‌پذیری دیگر نیز به کاربران ثبت نام شده اجازه تزریق دستورات SQL را می‌دهد.
کد آسیب‌پذیر به LFI در مسیر inc/rest-api/v1/frontend/class-lp-rest-courses-controller.php قرار گرفته است. تابع list_courses مسئول ارسال درخواست API به مسیر lp/v1/courses/archive-course می‌باشد. سه متغیر به نامtemplate_path_item ، template_path و template_pagination_path در داخل این تابع قرار دارند که به مهاجم امکان رسیدن به LFI بدون انجام تصدیق هویت را می‌دهند:

کدی که دارای آسیب‌پذیری تزریق دستورات SQL بدون نیاز به تصدیق هویت است در مسیر inc/databases/class-lp-db.php قرار دارد. تابع execute مقدار filter را به عنوان پارامتر اول می‌پذیرد و از مکان‌های مختلفی در داخل پلاگین مخصوصاً جریان فرآیند REST API قابل فراخوانی است. کد زیر که متغیر ORDER_BY را الحاق می‌کند باعث به وجود آمدن این آسیب‌پذیری است:

در دو قسمت از کدهای مسیر زیر نیز یک آسیب‌پذیری وجود دارد که به کاربران سایت اجازه می‌دهد پس از تصدیق هویت دستورات SQL را تزریق نمایند:

محصولات تحت‌تأثیر
افزونه سیستم مدیریت یادگیری وردپرس LearnPress نسخه 4.1.7.3.2 و پایین‌تر
 توصیه‌های امنیتی
نسخه 4.2.0 این افزونه برای برطرف کردن آسیب‌پذیری‌های فوق منتشر شده است. به کلیه کاربران توصیه می‌شود در اسرع وقت این نسخه یا نسخه‌های بالاتر را نصب نمایند.

منابع خبر

 مقدمه
یک آسیب پذیری باشناسه CVE-2022-27596 و شدت بحرانی (9.8) در سیستم عامل‌های QTS 5.0.1 و QuTS hero h5.0.1 مربوط به دستگاه QNAP گزارش شده که نسخه وصله شده آن نیز منتشر شده است. 
جزئیات آسیب‌پذیری
با سوء استفاده از این آسیب‌پذیری مهاجم می‌تواند از راه دور کدهای مخرب دلخواه خود را به سیستم قربانی تزریق کند. این آسیب‌پذیری دارای بردار حمله AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد و بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N). سوء‌استفاده از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از آسیب‌پذیری مذکور بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط، با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
سیستم‌عامل‌های 5.0.1QTS  و 5.0.1QuTS hero h  مربوط به دستگاه QNAP تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.
توصیه‌های امنیتی
این آسیب‌پذیری در دو نسخه از سیستم‌عامل‌های QTS و QuTS hero رفع شده است که عبارتند از:

 و نسخه‌های بعدی QuTS hero h5.0.1.2248 build 20221215
 و نسخه‌های بعدی QTS 5.0.1.2234 build 20221201

لذا به کاربران توصیه می‌شود در اسرع وقت از طریق مسیر زیر، نسبت به به‌روزرسانی سیستم خود اقدام کنند:
با سطح دسترسی ادمین به QTS و QuTS hero وارد شوید و به مسیر زیر بروید:

سپس در قسمت Live Update، روی Check for Update کلیک کنید و آخرین به روزرسانی موجود برای QTS یا QuTS hero را دانلود و نصب کنید. شما همچنین می‌توانید به‌روزرسانی‌های منتشر شده را از آدرس ذیل دانلود کنید:

https://www.qnap.com/en/download

Support > Download Center

منابع خبر

مقدمه
یک آسیب‌پذیری با شناسه CVE-2021-44790 و شدت بحرانی (9.8) در Apache HTTP Server کشف شد است که بهره‌برداری موفقیت‌آمیز از آن می‌تواند منجر به افشای اطلاعات حساس، افزودن/ تغییر داده‌ها و یا حمله انکار سرویس (DoS) شود.
جزئیات آسیب‌پذیری
این آسیب‌پذیری مربوط به سرریز بافر هنگام تجزیه  محتوای چندبخشی در mod_lua از Apache HTTP Server نسخه 2.4.51 و قبل‌تر می‌باشد.
آسیب‌پذیری مذکور دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد؛ یعنی بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء‌استفاده از آن نیز نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از این آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و  با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بسیار زیادی تحت‌تأثیر قرار می‌گیرند (C:H و I:H و A:N).
محصولات تحت‌تأثیر
نسخه 2.4.51 و قبل‌تر Apache HTTP Server تحت‌تأثیر این آسیب‌پذیری قرار دارند:
1. پکیج app-admin/apache-tools 
2. پکیجwww-servers/apache   
توصیه‌های امنیتی
آسیب‌پذیری مذکور در نسخه  2.4.52 و نسخه‌های بعدتر  Apache HTTP Serverرفع شده است و به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء این وب سرور و پکیج‌های آن اقدام کنند.
 منابع خبر

 مقدمه
چند آسیب‌پذیری در رابط مدیریت مبتنی بر وب روترهای Small Business RV016, RV042, RV042G, and RV082  سیسکو گزارش شده است.
جزئیات آسیب‌پذیری
این آسیب‌پذیری‌ها با شناسه‌های CVE-2023-20025 و CVE-2023-20026 ردیابی می‌شوند. به دنبال آسیب‌پذیری‌های مذکور، مهاجمان می‌توانند از راه دور احراز هویت را دور بزنند یا دستورات دلخواه را بر روی سیستم‌عامل دستگاه آسیب‌دیده اجرا کند.
این آسیب‌پذیری‌ها به یکدیگر وابسته نیستند و بهره‌برداری از یکی ملزم به بهره‌برداری از آسیب‌پذیری‌ دیگر نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تأثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد، ممکن است تحت تأثیرآسیب‌پذیری دیگر قرار نگیرد.
این آسیب‌پذیری‌ها به دلیل اعتبارسنجی نامناسب ورودی کاربر در بسته‌های HTTP ورودی است. یک مهاجم می‌تواند با ارسال یک درخواست HTTP ساختگی به رابط مدیریت مبتنی بر وب، از این آسیب‌پذیری‌ها بهره‌برداری کند.
آسیب‌پذیری با شناسه CVE-2023-20025، شدت بحرانی و Base Score 9.0:
یک آسیب‌پذیری در رابط مدیریت مبتنی بر وب روترهای Small Business RV016, RV042, RV042G, RV082 می‌تواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد تا احراز هویت را در دستگاه آسیب‌دیده دور بزند. 
یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا احراز هویت را دور بزند و به سیستم‌عامل اصلی دسترسی پیدا کند.
آسیب‌پذیری با شناسه CVE-2023-20026، شدت متوسط و Base Score 6.5:
یک آسیب‌پذیری در رابط مدیریت مبتنی بر وب روترهای Cisco Small Business RV016، RV042، RV042G و RV082 می تواند به مهاجم احراز هویت شده و از راه دور اجازه دهد تا دستورات دلخواه را روی دستگاه آسیب دیده اجرا کند.
یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا امتیازات کاربر root را به دست آورد و به داده‌های غیرمجاز دسترسی پیدا کند. برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید دارای مجوزهای کاربر administrative معتبر در دستگاه آسیب‌دیده باشد.
محصولات تحت تأثیر
این آسیب‌پذیری‌ها بر روی تمام نسخه‌های نرم‌افزاری که بر روی روترهای RV Series Small Business اجرا می‌شوند، تاثیر می‌گذارد:
•    روترهای RV016 Multi-WAN VPN
•    روترهای RV042 Dual WAN VPN
•    روترهای RV042G Dual Gigabit WAN VPN
•    RV082 Dual WAN VPN
توصیه‌های امنیتی
هیچ راه‌حلی برای رفع این آسیب‌پذیری‌ها وجود ندارد. با این حال، مدیران می‌توانند با غیرفعال کردن مدیریت از راه دور و مسدود کردن دسترسی به پورت‌های 443 و 60443، آسیب‌پذیری‌ها را کاهش دهند. پس از این اقدامات، روترها همچنان از طریق رابط LAN قابل دسترسی خواهند بود.

1.  مدیریت از راه دور را با انجام مراحل زیر غیرفعال کنید:

•  وارد رابط مدیریت مبتنی بر وب دستگاه شوید.
•  Firewall > General را انتخاب کنید.
•  تیک کادر Remote Management را بردارید.

2.  دسترسی به پورت های 443 و 60443 را مسدود کنید:

• ابتدا یک سرویس جدید به قوانین دسترسی دستگاه برای پورت 60443 اضافه کنید. نیازی به ایجاد سرویس برای پورت 443 نیست زیرا در لیست سرویس‌ها از پیش تعریف شده است:

          -  وارد رابط مدیریت مبتنی بر وب شوید.
          -  Firewall > Access Rules را انتخاب کنید.
          -  بر روی Service Management کلیک کنید.
          -  در قسمت Service Name، TCP-60443 را وارد کنید.
          -  از لیست کشویی Protocol، TCP را انتخاب کنید.
          -  در هر دو قسمت Port Range، 60443 را وارد کنید.
          -  بر روی Add to List کلیک کنید.
          -  بر روی OK کلیک کنید.

• در مرحله بعد، قوانین دسترسی را برای مسدود کردن پورت های 443 و 60443 ایجاد کنید. برای این کار، مراحل زیر را انجام دهید:

          -  وارد رابط مدیریت مبتنی بر وب شوید.
          -  Firewall > Access Rules را انتخاب کنید.
          -  بر روی Add کلیک کنید.
          -  از لیست کشویی Action، گزینه Deny را انتخاب کنید.
          -  از لیست کشویی Service، HTTPS (TCP 443-443) را انتخاب کنید.
          -  از لیست کشویی Log، Log packets match this rule را انتخاب کنید.
          -  از لیست کشویی Source Interface، گزینه‌ای را انتخاب کنید که با اتصال WAN در دستگاه شما مطابقت داشته باشد.
          -  از منوی Source IP، Any را انتخاب کنید.
          -  از لیست Destination IP، Single را انتخاب کنید.
          -   در هر دو قسمت Destination IP، آدرس WAN IP را وارد کنید.
          -  روی Save کلیک کنید.
   برای ایجاد یک قانون دسترسی برای مسدود کردن پورت 60443، مراحل قبل را تکرار کنید، اما برای مرحله 5، HTTPS (TCP 60443-60443) را از لیست کشویی Service انتخاب کنید.
این شرکت گفت: «سیسکو ‌یروزرسانی‌های نرم‌افزاری را برای رفع این آسیب‌پذیری‌ها منتشر نکرده و نخواهد نکرد». در حقیقت روترهای سیسکو Small Business RV016, RV042, RV042G and RV082  وارد فرآیند پایان عمر شده‌اند.
منابع خبر

 مقدمه
یک آسیب‌پذیری با شناسه CVE-2022-46169 و شدت بحرانی (9.8) در ابزار مانیتورینگ Cacti کشف شد است که امکان اجرای کد از راه دور را برای مهاجم فراهم خواهد ساخت. 
جزئیات آسیب‌پذیری
Cacti  یکی از ابزارهای مانیتورینگ شبکه است که به‌صورت Opensource و با زبان برنامه‌نویسی PHP طراحی شده است. این ابزار مبتنی ‌بر وب است و جهت ذخیره اطلاعات نمودارها از MySQL استفاده می‌کند. Cacti  در ایران نیز  مورد توجه می‌باشد و بسیاری از کاربران، به دلیل راحتی در پیاده‌سازی و Opensource و رایگان بودن، از آن بهره می‌بردند.
این آسیب‌پذیری با CWE-77 منجر به اجرا و تزریق کد از راه دور خواهد شد و به مهاجم احراز هویت نشده این امکان را خواهد داد تا کد دلخواه خود را روی سروری که Cacti بر روی آن نصب شده است، اجرا کند. این آسیب‌پذیری در فایل remote_agent.php قرار دارد که فایل مذکور، بدون احراز هویت کاربر، قابل دسترسی است.

if (!remote_client_authorized()) {

    print 'FATAL: You are not authorized to use this service';

    exit;

}

این تابع آدرس IP کلاینت را از طریق get_client_addr بازیابی و این آدرس IP را از طریق gethostbyaddr به نام کلاینت مربوطه تفسیر می‌کند.
آسیب‌پذیری مذکور دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد؛ یعنی بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء‌استفاده از آن نیز نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از این آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U)و  با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بسیار زیادی تحت تأثیر قرار می‌گیرند (C:H و I:H و A:N).
 محصولات تحت تأثیر
نسخه v1.2.22 ابزار Cacti  تحت تأثیر این آسیب‌پذیری قرار دارند.
توصیه‌های امنیتی
این آسیب‌پذیری در نسخه‌های 1.2.23 و 1.3.0رفع شده است و به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء ابزارCacti  به این نسخه‌ها اقدام کنند.
منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-46169

[2] https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

[3] https://github.com/0xf4n9x/CVE-2022-46169