مقدمه
یک آسیبپذیری با شناسه CVE-2022-46169 و شدت بحرانی (9.8) در ابزار مانیتورینگ Cacti کشف شد است که امکان اجرای کد از راه دور را برای مهاجم فراهم خواهد ساخت.
جزئیات آسیبپذیری
Cacti یکی از ابزارهای مانیتورینگ شبکه است که بهصورت Opensource و با زبان برنامهنویسی PHP طراحی شده است. این ابزار مبتنی بر وب است و جهت ذخیره اطلاعات نمودارها از MySQL استفاده میکند. Cacti در ایران نیز مورد توجه میباشد و بسیاری از کاربران، به دلیل راحتی در پیادهسازی و Opensource و رایگان بودن، از آن بهره میبردند.
این آسیبپذیری با CWE-77 منجر به اجرا و تزریق کد از راه دور خواهد شد و به مهاجم احراز هویت نشده این امکان را خواهد داد تا کد دلخواه خود را روی سروری که Cacti بر روی آن نصب شده است، اجرا کند. این آسیبپذیری در فایل remote_agent.php قرار دارد که فایل مذکور، بدون احراز هویت کاربر، قابل دسترسی است.
if (!remote_client_authorized()) {
print 'FATAL: You are not authorized to use this service';
exit;
}
این تابع آدرس IP کلاینت را از طریق get_client_addr بازیابی و این آدرس IP را از طریق gethostbyaddr به نام کلاینت مربوطه تفسیر میکند.
آسیبپذیری مذکور دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H میباشد؛ یعنی بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و سوءاستفاده از آن نیز نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوءاستفاده از این آسیبپذیری بر منابع مدیریتشده توسط سایر مراجع امنیتی تأثیر نمیگذارد (S:U)و با سوءاستفاده از آن، هر سه ضلع امنیت به میزان بسیار زیادی تحت تأثیر قرار میگیرند (C:H و I:H و A:N).
محصولات تحت تأثیر
نسخه v1.2.22 ابزار Cacti تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
این آسیبپذیری در نسخههای 1.2.23 و 1.3.0رفع شده است و به کاربران توصیه میشود در اسرع وقت نسبت به ارتقاء ابزارCacti به این نسخهها اقدام کنند.
منابع خبر
[1] https://nvd.nist.gov/vuln/detail/CVE-2022-46169
[2] https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf
- 115