Lỗi giả mạo IP nghiêm trọng trong Cacti

Cacti, phần mềm mã nguồn mở, giám sát mạng và công cụ đồ họa viết trên PHP/ MySQL tồn tại lỗ hổng cho phép kẻ tấn công chạy các lệnh PHP tùy ý trên máy chủ.

Mặc dù Cacti thường không thể truy cập được từ các mạng công cộng, nhưng hacker có quyền truy cập vào máy chủ sẽ có thể tận dụng lỗi thực thi mã từ xa (RCE) mà không cần xác thực.

Lỗ hổng ảnh hưởng đến phiên bản 1.2.22 và đã được vá trong phiên bản 1.2.23 và 1.3.0.

Lỗ hổng nằm trong một tệp PHP trong Cacti, cho phép kẻ xấu từ xa chạy các lệnh khác nhau trên máy chủ. Biện pháp bảo vệ duy nhất mà tệp này cung cấp là kiểm tra xem các yêu cầu có đến từ một địa chỉ IP được ủy quyền hay không. Tuy nhiên, thật không may, địa chỉ IP có thể bị giả mạo bằng cách cấu hình tiêu đề HTTP.

Điều này cho phép kẻ tấn công có quyền truy cập vào các lệnh của tệp mà không cần xác thực vào ứng dụng Cacti.

Mark Brugnoli-Vinten, thành viên nhóm bảo trì Cacti cho biết: “Việc khai thác không khó thực hiện nếu kẻ tấn công có quyền truy cập vào một nền tảng giám sát đang chạy Cacti”.

Polldata, một trong các chức năng trong file có lỗ hổng, tải dữ liệu từ cơ sở dữ liệu backend dựa trên các đối số do người dùng cung cấp. Nếu máy chủ được cấu hình để cho phép các hoạt động của tập lệnh PHP, kẻ tấn công có thể sử dụng lệnh này để thực thi các tập lệnh tùy ý trên máy chủ.

Theo khuyến cáo, nhiều khả năng một số lượng không nhỏ hệ thống được cấu hình cho phép hành động này do sử dụng các template có sẵn.

Khai thác thành công, hacker có khả năng chạy các lệnh dưới vai trò người dùng đang thực thi tiến trình website.

Tuy nhiên, miễn là hệ thống “được bảo mật bằng các quy trình an toàn, như AppArmour/SELinux hay phân quyền khác nhau cho các người dùng/nhóm người dùng khác nhau, thì tác động sẽ khá hạn chế”.

Lỗi này có điểm CVSS 9,8, đó là lí do vì sao khuyến cáo được đưa ra trước khi việc phát hành bản vá hoàn tất.