16/12/2024

Actu Cybersécurité

Des serveurs Cacti vulnérables pris pour cible par différents malwares !

Une faille de sécurité critique affecte Cacti et les pirates sont déjà sur le coup puisque des attaques sont en cours sur les instances exposées sur Internet. Cela n'est pas neutre puisqu'il y aurait plus de 1 600 instances Cacti dans ce cas !

Pour rappel, Cacti est un outil de mesure de performances pour les équipements réseau et les serveurs, que l'on peut considérer comme une solution de supervision.

Les campagnes d'attaques en cours visent à exploiter la faille de sécurité CVE-2022-46169 de Cacti, associée à un score CVSS de 9,8 sur 10 qui prouve qu'elle est critique. Cette vulnérabilité peut être exploitée à distance et sans authentification, ce qui est une aubaine pour les pirates informatiques, d'autant plus qu'elle permet l'exécution de commandes à distance. Ainsi, un serveur Cacti peut être compromis grâce à l'exploitation de cette faille de sécurité.

La bonne nouvelle, c'est qu'il existe un correctif pour se protéger de cette vulnérabilité, comme on peut le voir sur cette page GitHub. La mauvaise nouvelle, c'est que l'on peut trouver en ligne des détails techniques sur la manière d'exploiter cette faille de sécurité, et on peut également mettre la main sur un exploit PoC. D'ailleurs, l'entreprise SonarSource a publié une vidéo de démonstration qui montre l'exploitation de cette vulnérabilité en pratique sur une instance de test de Cacti.

Les pirates informatiques sont également sur le coup dans le but de déployer différentes souches malveillantes sur les serveurs Cacti compromis. Par exemple, il y a le botnet Mirai, mais aussi l'IRC Botnet qui permet de mettre en place un reverse shell. D'après les chercheurs de la fondation Shadowserver, le nombre d'attaques est en forte augmentation depuis quelques jours.

Par ailleurs, et d'après l'entreprise Censys, il y aurait 6 427 serveurs Cacti exposés sur Internet : "Censys a observé 6 427 hôtes sur Internet exécutant Cacti. Malheureusement, nous ne pouvons voir la version exacte du logiciel en cours d'exécution que lorsqu'un thème spécifique (sunshine) est activé sur l'application web." - Malgré tout, il y aurait au moins 1 637 serveurs Cacti vulnérables à la CVE-2022-46169. A contrario, il y a seulement 26 serveurs Cacti à jour et protégé contre cette vulnérabilité.

Utilisateurs de Cacti, vous savez ce qu'il vous reste à faire !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.