İnternet üzerinden ulaşılabilir kakti cihaz izleme aracının 1.600'den fazla örneği, bilgisayar korsanlarının zaten kullanmaya başladığı kritik bir güvenlik sorununa karşı savunmasızdır.
Kakti, grafik görselleştirme sağlayan ağ cihazları için operasyonel ve hata yönetimi izleme çözümüdür. Web'de maruz kalan dünya çapında yerleştirilen binlerce örnek var.
Aralık 2022'nin başlarında, bir güvenlik danışmanlığı, kritik bir komut enjeksiyon güvenlik açığı (CVE-2022-46169 olarak izlenir, 10 üzerinden 9.8 puan verildi), kimlik doğrulaması olmadan sömürülebilecek.
Geliştirici, güvenlik açığını düzelten bir güncelleme yayınladı ve ayrıca komut enjeksiyonu ve yetkilendirme bypass'ı önlemek için tavsiyelerde bulundu.
Sorun ve nasıl kaldırılabileceği ile ilgili teknik ayrıntılar, saldırılar için silahlandırılabilecek konsept (POC) istismar kodu ile birlikte aynı ay ortaya çıkmaya başladı.
3 Ocak'ta, kod kalitesi ve güvenlik ürünleri sağlayan bir şirket olan Sonarsource, bulgularının teknik bir yazısını ve güvenlik açığını gösteren kısa bir video yayınladı:
Aynı gün, Shadowserver Vakfı'ndaki güvenlik araştırmacıları, kötü amaçlı yazılım sağlayan sömürü girişimlerini fark ettiler.
Başlangıçta, istismarlar Mirai kötü amaçlı yazılım gibi botnet kurdu. Kurulan başka bir istismar, ana bilgisayarda ters bir kabuk açan ve bağlantı noktası taramalarını çalıştırmasını söyleyen IRC Botnet (Perl tabanlı) idi. Daha yeni saldırılar sadece güvenlik açığını kontrol ediyor.
Shadowserver araştırmacıları tarafından toplanan verilere göre, CVE-2022-46169 kaktüsünde güvenlik açığı için sömürü girişimleri geçen hafta arttı ve toplam sayı şu anda iki düzinenin altındaydı.
İnternete bağlı cihazlar için Censys Attack Surface arama platformundan gelen bir raporda, Web'de maruz kalan 6.427 kakti ana bilgisayar bulunmaktadır. Yine de, savunmasız bir sürümü kaç çalıştırmayı veya güncellendiğini belirlemek, hepsi için mümkün değildir.
“Censys, internette Cacti'nin bir versiyonunu çalıştıran 6.427 ev sahibi gözlemledi. Ne yazık ki, yalnızca Web uygulamasında belirli bir tema (Sunrise) etkinleştirildiğinde tam çalışan yazılım sürümünü görebiliriz ” - Censys
Bununla birlikte, şirket, Nisan 2021'de piyasaya sürülen izleme çözümünün 1.1.38 sürümünü çalıştıran birçoğu (465) CVE-2022-46169'a karşı savunmasız olan Web üzerinden ulaşılabilir 1.637 kaktüs sahibi sayabilir.
Censys'in sürüm numarasını belirleyebileceği tüm kaktüs ana bilgisayarlarından sadece 26'sı kritik kusura karşı savunmasız olmayan güncellenmiş bir sürüm çalıştırıyordu.
Bir saldırganın bakış açısından, bir kuruluşun kaktüs örneğine erişim kazanmak, ağdaki cihazların türü ve yerel IP adresleri hakkında bilgi edinme fırsatı sağlar.
Bu tür bilgiler, ağın doğru bir görünümünü ve dayanaklarını güvence altına almak veya daha değerli sistemlere geçmek için saldırabilecekleri ana bilgisayarlar için bir nimettir.
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
Atlassian, Bitbucket Server'da kritik komut enjeksiyon hatasını düzeltiyor
POCUSS POPLISTS Popüler WordPress eklentilerinde kritik hatalar için yayınlandı
Microsoft Ocak 2023 Patch Salı 98 Kusurlu Düzeltmeler, 1 Sıfır Gün
Threema, şifreleme kusurlarının hiçbir zaman gerçek dünyadaki etkisi olmadığını iddia ediyor
Kaynak: Bleeping Computer