Une faille de sécurité critique affecte Cacti et les pirates sont déjà sur le coup puisque des attaques sont en cours sur les instances exposées sur Internet. Cela n'est pas neutre puisqu'il y aurait plus de 1 600 instances Cacti dans ce cas !

Pour rappel, Cacti est un outil de mesure de performances pour les équipements réseau et les serveurs, que l'on peut considérer comme une solution de supervision.

Les campagnes d'attaques en cours visent à exploiter la faille de sécurité CVE-2022-46169 de Cacti, associée à un score CVSS de 9,8 sur 10 qui prouve qu'elle est critique. Cette vulnérabilité peut être exploitée à distance et sans authentification, ce qui est une aubaine pour les pirates informatiques, d'autant plus qu'elle permet l'exécution de commandes à distance. Ainsi, un serveur Cacti peut être compromis grâce à l'exploitation de cette faille de sécurité.

La bonne nouvelle, c'est qu'il existe un correctif pour se protéger de cette vulnérabilité, comme on peut le voir sur cette page GitHub. La mauvaise nouvelle, c'est que l'on peut trouver en ligne des détails techniques sur la manière d'exploiter cette faille de sécurité, et on peut également mettre la main sur un exploit PoC. D'ailleurs, l'entreprise SonarSource a publié une vidéo de démonstration qui montre l'exploitation de cette vulnérabilité en pratique sur une instance de test de Cacti.

Les pirates informatiques sont également sur le coup dans le but de déployer différentes souches malveillantes sur les serveurs Cacti compromis. Par exemple, il y a le botnet Mirai, mais aussi l'IRC Botnet qui permet de mettre en place un reverse shell. D'après les chercheurs de la fondation Shadowserver, le nombre d'attaques est en forte augmentation depuis quelques jours.

Par ailleurs, et d'après l'entreprise Censys, il y aurait 6 427 serveurs Cacti exposés sur Internet : "Censys a observé 6 427 hôtes sur Internet exécutant Cacti. Malheureusement, nous ne pouvons voir la version exacte du logiciel en cours d'exécution que lorsqu'un thème spécifique (sunshine) est activé sur l'application web." - Malgré tout, il y aurait au moins 1 637 serveurs Cacti vulnérables à la CVE-2022-46169. A contrario, il y a seulement 26 serveurs Cacti à jour et protégé contre cette vulnérabilité.

Utilisateurs de Cacti, vous savez ce qu'il vous reste à faire !

Source

L'article Des serveurs Cacti vulnérables pris pour cible par différents malwares ! est disponible sur IT-Connect : IT-Connect.