Você está visualizando atualmente Falhas Críticas no Framework Cacti Podem Permitir que Atacantes Execute Código Malicioso

Falhas Críticas no Framework Cacti Podem Permitir que Atacantes Execute Código Malicioso

Os responsáveis pelo desenvolvimento do Cacti, um framework de monitoramento de rede e gestão de falhas de código aberto, corrigiram uma dúzia de falhas de segurança, incluindo duas questões críticas que poderiam levar à execução de código arbitrário. As vulnerabilidades mais graves, detalhadas abaixo, foram resolvidas:

– CVE-2024-25641 (pontuação CVSS: 9.1) – Uma vulnerabilidade de escrita de arquivo arbitrário no recurso “Importar Pacote” que permite que usuários autenticados com permissão “Importar Modelos” executem código PHP arbitrário no servidor web, resultando em execução remota de código.

– CVE-2024-29895 (pontuação CVSS: 10.0) – Uma vulnerabilidade de injeção de comando que permite que qualquer usuário não autenticado execute comandos arbitrários no servidor quando a opção “register_argc_argv” do PHP está ativada.

Também foram corrigidas pelo Cacti outras duas falhas de alta gravidade que poderiam resultar em execução de código através de injeção de SQL e inclusão de arquivos:

– CVE-2024-31445 (pontuação CVSS: 8.8) – Uma vulnerabilidade de injeção de SQL no arquivo api_automation.php, que permite que usuários autenticados realizem escalonamento de privilégios e execução remota de código.

– CVE-2024-31459 (pontuação CVSS: N/A) – Um problema de inclusão de arquivo no arquivo “lib/plugin.php” que poderia ser combinado com vulnerabilidades de injeção de SQL para resultar em execução remota de código.

É importante destacar que 10 das 12 falhas, com exceção do CVE-2024-29895 e CVE-2024-30268 (pontuação CVSS: 6.1), afetam todas as versões do Cacti, incluindo e anteriores à 1.2.26. Elas foram corrigidas na versão 1.2.27 lançada em 13 de maio de 2024. As outras duas falhas afetam as versões de desenvolvimento 1.3.x.

Essa atualização ocorre mais de oito meses após a divulgação de outra vulnerabilidade crítica de injeção de SQL (CVE-2023-39361, pontuação CVSS: 9.8) que poderia permitir a um invasor obter permissões elevadas e executar código malicioso.

No início de 2023, uma terceira falha crítica rastreada como CVE-2022-46169 (pontuação CVSS: 9.8) foi explorada ativamente, permitindo que atores maliciosos invadissem servidores Cacti expostos à internet para distribuir malware de botnet como MooBot e ShellBot.

Com exploits de prova de conceito (PoC) publicamente disponíveis para essas falhas (nos respectivos avisos do GitHub), recomenda-se que os usuários atualizem suas instâncias para a versão mais recente o mais rápido possível para mitigar possíveis ameaças.