Die Mehrheit der Cacti-Server, die dem Internet ausgesetzt sind, wurde nicht gegen eine kürzlich gepatchte kritische Sicherheitslücke gepatcht, die in freier Wildbahn aktiv ausgenutzt wird.
Das berichtet die Angriffsplattform Censys, die herausgefunden hat, dass nur 26 von insgesamt 6.427 Servern eine gepatchte Version von Cacti (1.2.23 und 1.3.0) verwenden.
Es handelt sich um die Sicherheitslücke CVE-2022-46169 (CVSS-Score: 9.8), eine Kombination aus Authentifizierungsumgehung und Befehlsinjektion, die es einem nicht authentifizierten Benutzer ermöglicht, beliebigen Code auf einer betroffenen Version der webbasierten Open-Source-Überwachungslösung auszuführen.
Einzelheiten über die Schwachstelle, die die Versionen 1.2.22 und darunter betrifft, wurden zuerst von SonarSource aufgedeckt. Die Schwachstelle wurde den Projektbetreuern am 2. Dezember 2022 gemeldet.
„Eine Hostnamen-basierte Berechtigungsprüfung ist bei den meisten Installationen von Cacti nicht sicher implementiert“, stellte der SonarSource-Forscher Stefan Schiller Anfang des Monats fest und fügte hinzu: „Ungeprüfte Benutzereingaben werden in einen String übertragen, der zur Ausführung eines externen Befehls verwendet wird.“
Die öffentliche Bekanntgabe der Schwachstelle hat auch zu „Ausnutzungsversuchen“ geführt. Die Shadowserver Foundation und GreyNoise warnen vor bösartigen Angriffen, die von einer IP-Adresse in der Ukraine ausgehen.
Ein Großteil der ungepatchten Versionen (1.320) befindet sich in Brasilien, gefolgt von Indonesien, den USA, China, Bangladesch, Russland, der Ukraine, den Philippinen, Thailand und Großbritannien.
SugarCRM-Schwachstelle wird aktiv ausgenutzt, um Web-Shells abzulegen
SugarCRM hat gerade Fixes für eine öffentlich bekannte Schwachstelle veröffentlicht, die aktiv ausgenutzt wurde, um eine PHP-basierte Web-Shell auf 354 Hosts zu installieren, so Censys in einem unabhängigen Bericht.
Der Fehler mit der Bezeichnung CVE-2023-22952 betrifft eine fehlende Eingabevalidierung, die zur Einspeisung von beliebigem PHP-Code führen kann. Er wurde in den SugarCRM-Versionen 11.0.5 und 12.0.2 behoben.
Bei den von Censys beschriebenen Angriffen wird die Web-Shell als Kanal benutzt, um zusätzliche Befehle auf dem infizierten Rechner mit denselben Rechten auszuführen wie der Benutzer, der den Webdienst ausführt. Ein Großteil der Infektionen wurde aus den USA, Deutschland, Australien, Frankreich und Großbritannien gemeldet.
Es ist nicht ungewöhnlich, dass böswillige Akteure neu aufgedeckte Schwachstellen für ihre Angriffe nutzen. Deshalb müssen die Nutzer/innen die Sicherheitslücken schnell schließen.