cacti是一套基于php,mysql,snmp及rrdtool开发的开源网络流量监测图形分析工具,提供了非常强大的数据和用户管理功能,可以指定每一个用户查看树状结构、host以及任何一张图。
近日,天融信阿尔法实验室监测到互联网上公开发布了关于cacti存在命令执行漏洞的消息。该漏洞存在于“remote_agent.php”文件中,攻击者无需身份验证即可访问此文件。攻击者可利用get_nfilter_request_var()函数检索的参数$poller_id,来满足poller_item =poller_action_script_php条件,触发proc_open()函数,从而导致命令执行。漏洞利用成功后,未经身份验证的攻击者可以在运行 cacti 的服务器上执行任意代码,其危害之大,后果不堪设想,建议客户尽快开展自查并更新至最新版本或启用安全防护产品以防御漏洞。
漏洞信息
排查方法一
通过天融信自适应安全防御系统从安全运营视角自动化构建主机资产指纹库,可全面收集web服务、web应用、web框架等信息,快速定位受影响主机及cacti版本,有效提升安全漏洞响应效率。
排查方法二
天融信脆弱性扫描与管理系统集成系统漏扫、web漏扫、数据库漏扫、弱口令检测、基线核查等功能,对信息资产进行全面的脆弱性检查,提供专业的安全分析和修补建议。
目前天融信脆弱性扫描与管理系统已紧急更新cacti漏洞检查插件,可将漏洞规则库升级至vas-sys-v1.0-2022.12.08.tir版本,下发扫描任务后快速排查cacti漏洞。
修复建议
1、安全补丁
目前cacti官方已发布安全补丁,但暂未发布版本更新,建议受影响用户关注官方更新或参考官方补丁代码进行修复:
https://github.com/cacti/cacti/commit/7f0e16312dd5ce20f93744ef8b9c3b0f1ece2216
https://github.com/cacti/cacti/commit/b43f13ae7f1e6bfe4e8e56a80a7cd867cf2db52b
注意:对于在php<7.0下运行的1.2.x实例,还需要进一步更改:
https://github.com/cacti/cacti/commit/a8d59e8fa5f0054aa9c6981b1cbe30ef0e2a0ec9
2、缓解方案
(1) 通过更新lib/functions.php中get_client_addr函数防止授权绕过,可参考官方补丁代码;
(2) 通过更改remote_agent.php文件防止命令注入,检索$poller_id参数时使用get_filter_request_var函数代替get_nfilter_request_var:
(3) 在参数$poller_id传入proc_open()函数之前通过escapeshellarg()函数进行转义:
参考链接:
https://github.com/cacti/cacti/security/advisories/ghsa-6p93-p743-35gf
近年来,新型web漏洞频发,关于如何在这场不对等的攻防战役中提升主动防御能力,细颗粒度的资产管理与持续的检测响应是核心关键。
免 费 试 用
天融信自适应安全防御系统是一款基于自适应安全架构的主机安全感知防护平台,系统由管控中心和安全探针agent组成,可快速构建主机安全感知防护平台,从预测、防御、检测、响应层面全面加强安全监控、安全分析和响应能力,在资产梳理的基础上提供全栈保护能力,有效帮助客户抵御高级威胁攻击,全面提升安全运营能力。
2022年12月9日—2023年3月9日
「识别二维码」
天融信自适应安全防御系统
即刻预约试用~
topsec
作为中国领先的网络安全、大数据和云服务提供商,天融信始终以捍卫网络空间安全为己任,不断推出满足企业客户安全需求的产品与服务,积极应对新的安全威胁与挑战,为保障国家网络空间安全贡献企业力量。
- 关键词标签:
- 天融信阿尔法实验室 cacti命令执行漏洞 免费排查方案