آسیب‌پذیری بحرانی در در ابزار مانیتورینگ Cacti

یک آسیب‌پذیری با شناسه CVE-2022-46169 و شدت بحرانی (۹.۸) در ابزار مانیتورینگ Cacti کشف شد است که امکان اجرای کد از راه دور را برای مهاجم فراهم خواهد ساخت.

جزئیات آسیب‌پذیری
Cacti  یکی از ابزارهای مانیتورینگ شبکه است که به‌صورت Opensource و با زبان برنامه‌نویسی PHP طراحی شده است. این ابزار مبتنی ‌بر وب است و جهت ذخیره اطلاعات نمودارها از MySQL استفاده می‌کند. Cacti  در ایران نیز  مورد توجه می‌باشد و بسیاری از کاربران، به دلیل راحتی در پیاده‌سازی و Opensource و رایگان بودن، از آن بهره می‌بردند.
این آسیب‌پذیری با CWE-77 منجر به اجرا و تزریق کد از راه دور خواهد شد و به مهاجم احراز هویت نشده این امکان را خواهد داد تا کد دلخواه خود را روی سروری که Cacti بر روی آن نصب شده است، اجرا کند. این آسیب‌پذیری در فایل remote_agent.php قرار دارد که فایل مذکور، بدون احراز هویت کاربر، قابل دسترسی است.

if (!remote_client_authorized()‎) {
    print ‪'FATAL: You are not authorized to use this service'‬;‎
    exit;‎

}

این تابع آدرس IP کلاینت را از طریق get_client_addr بازیابی و این آدرس IP را از طریق gethostbyaddr به نام کلاینت مربوطه تفسیر می‌کند.
آسیب‌پذیری مذکور دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد؛ یعنی بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء‌استفاده از آن نیز نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از این آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U)و  با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بسیار زیادی تحت تأثیر قرار می‌گیرند (C:H و I:H و A:N).
 
محصولات تحت تأثیر

نسخه v1.2.22 ابزار Cacti  تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
این آسیب‌پذیری در نسخه‌های ۱.۲.۲۳ و ۱.۳.۰رفع شده است و به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء ابزارCacti  به این نسخه‌ها اقدام کنند.

منبع خبر: https://cert.ir/node/3635