MaxPatrol SIEM
Встроенный ML-помощник повышает эффективность обнаружения атак
Эксплуатация цепочки уязвимостей могла позволить атакующему выполнить произвольный код на сервере
Уязвимости в системе Cacti были выявлены старшим специалистом Positive Technologies Алексеем Соловьевым. Это программное обеспечение с открытым исходным кодом используется в дата-центрах, телеком-компаниях, хостинг-провайдерах для оперативного мониторинга, сбора данных и управлениями сбоями сетевой инфраструктуры. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Пользователям необходимо установить Cacti 1.2.27 или выше.
В мае 2024 года число доступных в интернете систем, на которых работает Cacti, оценивалось специалистами экспертного центра безопасности Positive Technologies более чем в 1300 инсталляций. Больше половины находятся в четырех странах: Индонезии (36,3%), Бангладеш (10,51%), США (9,67%) и Китае (6,37%).
Наиболее опасной была признана уязвимость, приводящая к внедрению SQL-кода (SQL Injection), — CVE-2023-49085 (BDU:2024-01113) с 8,8 балла по шкале CVSS v3. Далее идет уязвимость, связанная с выходом за пределы каталога (Path Traversal), — CVE-2023-49084 (BDU:2024-03557) с оценкой 8,1 балла. И последней найденной уязвимостью, эксплуатирующейся при межсайтовом скриптинге (DOM XSS), стала CVE-2023-49086 (BDU:2024-04203) с 6,1 балла по шкале CVSS v3.
«Система Cacti обеспечивает непрерывный мониторинг сетевой инфраструктуры, и эксплуатация подобных уязвимостей чревата существенным ущербом для бизнеса. В нашем случае потенциальный атакующий имел шанс использовать цепочку из трех найденных уязвимостей для полной компрометации системы Cacti и проникновения во внутреннюю сеть. На первом этапе надо было вынудить авторизованного пользователя перейти по ссылке для запуска вредоносного JavaScript-кода. Далее злоумышленник мог бы использовать SQL-инъе...
Ранее Алексей Соловьев помог устранить уязвимости в системах ИТ-мониторинга Nagios XI, Pandora FMS, которые могли привести к краже приватных данных и взлому сетевой инфраструктуры.
Для обнаружения всех трех уязвимостей эффективно применение статического и динамического анализаторов кода, таких как PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации уязвимостей стоит использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall). Продукты класса network traffic analysis, такие как PT Network Attack Discovery (PT NAD), определяют внедрение SQL-кода и включение локального файла (LFI)1. Снизить риски эксплуатации RCE-уязвимостей помогут средства защиты информации класса EDR, например MaxPatrol EDR. Пост-эксплуатацию этих уязвимостей может также зафиксировать Behavioral Anomaly Detection (BAD) — ML-модуль MaxPatrol SIEM. Для обнаружения RCE-уязвимостей на своих активах можно также использовать систему управления уязвимостями MaxPatrol VM.