La maggior parte dei server di Server Cacti esposti su Internet non sono stati riparati contro una grave vulnerabilità di sicurezza, ma recentemente corretta, che è stata oggetto di sfruttamento attivo da parte di malintenzionati.
Censys, una piattaforma adibita a monitorare attacchi informatici ha rilevato che solo 26 server su un totale di 6.427 eseguivano una versione patchata di Cacti (1.2.23 e 1.3.0).
Anzitutto, cos’è un Server Cacti di preciso?
Il progetto Cacti è stato avviato per la prima volta da Ian Berry il 2 settembre 2001.
Berry fu ispirato ad avviare il progetto mentre lavorava per un piccolo ISP mentre era ancora al liceo, imparando PHP e MySQL; il suo obiettivo centrale nella creazione di Cacti “era quello di offrire più facilità d’uso rispetto a RRDtool e maggiore flessibilità rispetto a MRTG“.
Cacti sostanzialmente non è che un programma che funziona su distribuzioni Linux , su Windows e su altre piattaforme adibito ad essere installato per monitorare come vanno i server.
Si legge da Wikipedia inglese: “Cacti è uno strumento open source Web-based per il monitoraggio e la rappresentazione grafica della rete, progettato come applicazione front-end per lo strumento di registrazione dati open source standard del settore RRDtool.”
Wikipedia poi aggiunge: “Cacti consente a un utente di interrogare i servizi a intervalli prestabiliti e rappresentare graficamente i dati risultanti. Viene generalmente utilizzato per rappresentare graficamente dati di serie temporali di metriche come il carico della CPU e l’utilizzo della larghezza di banda della rete. Un utilizzo comune è monitorare il traffico di rete eseguendo il polling di uno switch di rete o di un’interfaccia router tramite Simple Network Management Protocol (SNMP)“.
Ecco spiegato brevemente cos’è un “Server Cacti”, sostanzialmente server monitorati da questa particolare distribuzione Linux, che prendono il nome di “Cacti Server” o “Server Cacti” a seconda della lingua utilizzata.
Quali problemi avevano i server dei Server Cacti?
Il problema in questione riguarda CVE-2022-46169 (punteggio CVSS: 9,8), una combinazione di bypass dell’autenticazione e injection di codice malevolo che consente ad un utente non autenticato di eseguire codice dannoso su una versione interessata del software web-based open source.
I dettagli sulla vulnerabilità, che interessa le versioni 1.2.22 e precedenti, sono stati rivelati per la prima volta da SonarSource e tale difetto è stato successivamente segnalato ai manutentori del progetto il 2 dicembre 2022.
“Un controllo di autorizzazione basato sul nome dell’host non è implementato in modo sicuro per la maggior parte delle installazioni di Cacti“, ha reso noto, all’inizio di questo mese, il ricercatore di SonarSource Stefan Schiller, aggiungendo che “l’input utente non corretto viene propagato a una stringa utilizzata per eseguire un comando esterno [quindi codice malevolo]“.
La divulgazione pubblica della vulnerabilità ha anche portato a “tentativi di sfruttamento”, pertanto, alcune società, tra le quali Shadowserver Foundation e GreyNoise hanno avvertito gli utenti di attacchi dannosi originati da un indirizzo IP che è risultato con sede in Ucraina.
La maggior parte delle versioni prive di patch per Server Cacti (1.320) si trova in Brasile: seguono a ruota Indonesia, Stati Uniti, Cina, Bangladesh, Russia, Ucraina, Filippine, Tailandia e Regno Unito.
SugarCRM Flaw attivamente sfruttato per eliminare le Web Shell
Uno sviluppo arriva quando SugarCRM ha mandato alcune correzioni per una vulnerabilità divulgata pubblicamente che è stata anche utilizzata attivamente come arma per far cadere una shell web basata su PHP su 354 host unici, ha detto Censys in un avviso indipendente.
Il bug, segnato come CVE-2023-22952, riguarda un caso di convalida di input mancante che potrebbe comportare l’injection di codice PHP malevolo, tuttavia questo è stato risolto nelle versioni SugarCRM 11.0.5 e 12.0.2.
Non è raro che autori di minacce informatiche malintenzionati sfruttino le vulnerabilità appena rivelate per eseguire i propri attacchi, rendendo tassativo che gli utenti si muovano rapidamente per colmare le falle di sicurezza.
