Cacti 服务器尚未针对最近发现的关键安全漏洞进行修补,漏洞已被利用。
漏洞与 CVE-2022-46169(CVSS 分数:9.8)有关,这是身份验证绕过和命令注入的组合,使未经身份验证的用户能够在基于 Web 的开源监控解决方案的受影响版本上执行任意代码。
大多数暴露在互联网上的 Cacti 服务器尚未针对最近发现的关键安全漏洞进行修补,该漏洞已被利用。
这是根据攻击面管理平台Censys的数据,该平台发现总共26台服务器中,只有427台运行Cacti的修补版本(1.2.23和1.3.0)。
漏洞与 CVE-2022-46169(CVSS 分数:9.8)有关,这是身份验证绕过和命令注入的组合,使未经身份验证的用户能够在基于 Web 的开源监控解决方案的受影响版本上执行任意代码。
有关影响版本1.2.22及更低版本的漏洞的详细信息首先由SonarSource披露。该漏洞已于 2022年2月报告给项目维护人员。
“对于大多数Cacti安装,基于主机名的授权检查并没有安全地实施,”SonarSource研究员Stefan Schiller本月早些时候指出,并补充说:“未经净化的用户输入被传播到用于执行外部命令的字符串中。”
该漏洞的公开披露也导致了“利用尝试”,Shadowserver Foundation和GreyNoise警告说,到目前为止,恶意攻击来自位于乌克兰的一个IP地址。
大多数未修补的版本位于巴西,其次是印度尼西亚,美国,中国,孟加拉国,俄罗斯,乌克兰,菲律宾,泰国和英国。
SugarCRM漏洞被利用来掉落Web shells
Censys在一份独立公告中表示,SugarCRM发布了一个公开披露的漏洞的修复程序,该漏洞也被积极武器化,已在354个独特的主机上放置基于PHP的Web shell。
该错误被跟踪为 CVE-2023-22952,涉及缺少输入验证的情况,这可能导致注入任意 PHP 代码。此问题已在 SugarCRM 版本 11.0.5 和 12.0.2 中得到解决。
在 Censys 详述的攻击中,Web shell 被用作在受感染的计算机上执行其他命令的管道,这些命令的权限与运行 Web 服务的用户相同。大多数感染报告发生在美国,德国,澳大利亚,法国和英国。
恶意行为者利用新披露的漏洞进行攻击的情况并不少见,因此用户必须迅速采取行动堵塞安全漏洞。
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4697.html
