![](https://breachtrace.com/wp-content/uploads/2023/01/catci.jpg)
La majorité des serveurs Cacti exposés à Internet n’ont pas été corrigés contre une vulnérabilité de sécurité critique récemment corrigée qui a fait l’objet d’une exploitation active dans la nature.
C’est selon la plate-forme de gestion de surface d’attaque Censys, qui a découvert que seuls 26 serveurs sur un total de 6 427 exécutaient une version corrigée de Cacti (1.2.23 et 1.3.0).
Le problème en question concerne CVE-2022-46169 (score CVSS : 9,8), une combinaison de contournement d’authentification et d’injection de commande qui permet à un utilisateur non authentifié d’exécuter du code arbitraire sur une version affectée de la solution de surveillance Web open source. .
Les détails sur la faille, qui affecte les versions 1.2.22 et inférieures, ont d’abord été révélés par SonarSource. La faille a été signalée aux mainteneurs du projet le 2 décembre 2022.
« Une vérification d’autorisation basée sur le nom d’hôte n’est pas implémentée en toute sécurité pour la plupart des installations de Cacti », a noté Stefan Schiller, chercheur à SonarSource, plus tôt ce mois-ci, ajoutant « une entrée utilisateur non filtrée est propagée à une chaîne utilisée pour exécuter une commande externe ».
La divulgation publique de la vulnérabilité a également conduit à des « tentatives d’exploitation », la Shadowserver Foundation et GreyNoise avertissant jusqu’à présent des attaques malveillantes provenant d’une adresse IP située en Ukraine.
La majorité des versions non corrigées (1 320) se trouvent au Brésil, suivi de l’Indonésie, des États-Unis, de la Chine, du Bangladesh, de la Russie, de l’Ukraine, des Philippines, de la Thaïlande et du Royaume-Uni.
La faille SugarCRM activement exploitée pour supprimer les shells Web#
Le développement intervient alors que SugarCRM a livré des correctifs pour une vulnérabilité divulguée publiquement qui a également été activement militarisée pour déposer un shell Web basé sur PHP sur 354 hôtes uniques, a déclaré Censys dans un avis indépendant.
Le bogue, suivi comme CVE-2023-22952, concerne un cas de validation d’entrée manquante qui pourrait entraîner l’injection de code PHP arbitraire. Ce problème a été résolu dans les versions 11.0.5 et 12.0.2 de SugarCRM.
Dans les attaques détaillées par Censys, le shell Web est utilisé comme conduit pour exécuter des commandes supplémentaires sur la machine infectée avec les mêmes autorisations que l’utilisateur exécutant le service Web. La majorité des infections ont été signalées aux États-Unis, en Allemagne, en Australie, en France et au Royaume-Uni.
Il n’est pas rare que des acteurs malveillants exploitent les vulnérabilités récemment révélées pour mener à bien leurs attaques, ce qui oblige les utilisateurs à agir rapidement pour combler les failles de sécurité.