数千个网站都在使用 Cacti 来收集网络性能信息如从各种设备像路由器、交换机、服务器等中收集与带宽使用、CPU和内存使用以及磁盘I/O相关的信息。组织机构将所收集的数据填充到 RRDTool 中，并创建图形和视觉指标。如此，便能触及组织机构中的整个 IT 指纹，为网络攻击者提供了无价的侦查机会，并可用作深入网络的一个跳转点。

值得关注的是，攻击者还可组合利用 CVE-2023-51448和另外一个此前披露的 CVE-2023-49084 在易受攻击系统上实现RCE后果。

CVE-2023-51448：清理不充分

该漏洞的编号是CVE-2023-51448，位于 Cacti 1.2.25版本中。Cacti 已发布新版本修复了该漏洞。

该漏洞与应用未能正确清理输入数据有关，可导致SQL盲注攻击。GitHub 对该漏洞的评分是CVSS v3.1 8.8分，并指出攻击者仅需低权限即可利用它。

发现该漏洞的研究员 Matthew Hogg 在上个月将漏洞告知 Cacti 的维护人员，指出攻击者需要具有“设置/工具”权限的认证账户才能利用该漏洞。Hogg 提到，“找到运行 Cacti 的系统并不难，因为恶意人员可利用 Shodan 等服务查询实时系统。恶意人员还可借此自动化其初始侦查，找到运行易受攻击版本的系统实施攻击。”

Hogg 提到，截止到本周一，Shodan 搜索结果显示4000多台 Cacti 主机可能在运行易受攻击的 Cacti 版本。他提到，具有 Settings/Utilities 权限的认证攻击者需要将带有SQL注入 payload 的特殊构造的 HTTP GET 请求发送到端点 “/managers.php”。他表示，“通过SQL 盲注技术，攻击者能够披露 Cacti 数据库内容或者触发远程代码执行后果。”

SQL 盲注仍然是棘手问题

在SQL盲注攻击活动中，攻击者看不到所注入 SQL 查询的直接结果，而是需要基于应用可能的响应方式来尝试并进行推断。

Hogg 提到外部信息来源如出错信息和定时延迟时表示，“盲目通常用于描述 SQL 注入，其结果并未直接返回给攻击者，而是使用 oracle 推断出带外攻击。在本案例中，基于时间的 oracle 可用于查看是否符合布尔条件。响应时间之间的差异用于评估是否满足该条件，而它可查看攻击者想要泄露的字符的值。 ”

SQL 盲注攻击难以大规模发生。然而，具有所需权限可访问账户的攻击者可轻松利用该漏洞。Hugg 提到，“因攻击向量的性质，SQL 盲注易于执行，但难以利用。”

然而，他在说明组合利用之前所提到的漏洞的可能性时提到，“满足 CVE-2023-49084 前提条件的有能力的攻击者将能够轻松执行CVE-2023-51448.”

除了CVE-2023-51448外，研究人员一年来还曾报送了 Cacti 中的其它漏洞。其中更为严重的是去年1月份披露的未认证命令注入漏洞CVE-2022-46169 且该漏洞的 exploit 在数月之后就被公开披露。另外一个漏洞是在去年6月份发现的CVE-2023-39362，且它的 exploit 在10月份就被公开。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~