Introducción
Cacti, una herramienta de código abierto desarrollada por el equipo de Cacti, ha sido durante mucho tiempo un recurso de confianza para la monitorización y el análisis del tráfico de red. Sin embargo, como ocurre con cualquier software, pueden surgir vulnerabilidades. Una de estas debilidades que requiere atención inmediata es la vulnerabilidad Cacti Unauthenticated SQL Injection Vulnerability.
Vulnerabilidad
La inyección SQL es un tipo de vulnerabilidad común que se produce cuando la entrada del usuario no se desinfecta correctamente, lo que permite a los atacantes inyectar código SQL malicioso en las consultas a la base de datos de una aplicación. En el contexto de Cacti 1.2.24, la vulnerabilidad está relacionada con la página ‘graph_view.php’, accesible por defecto a usuarios invitados sin autenticación.
La vulnerabilidad se encuentra específicamente en el parámetro ‘rfilter’ dentro de la función ‘grow_right_pane_tree’ llamada desde el archivo ‘graph_view.php’. Este parámetro no se valida correctamente, y un atacante puede manipularlo para inyectar código SQL malicioso en la base de datos de la aplicación.
Una vez explotada, esta vulnerabilidad podría permitir a un atacante hacerse con privilegios administrativos o ejecutar código remoto, dando lugar a un control y acceso no autorizados al sistema.
Versión afectada
Cacti versión 1.2.24
Solución
Solución oficial: Para evitar estos ataques, se recomienda a los usuarios actualizar a las versiones 1.2.25 y 1.3.0. Visite: https://forums.cacti.net/viewtopic.php?p=292797#p292797
Aplicación de la corrección
Actualice su base de datos de firmas IPS a la versión 3.0.175 y su base de datos de firmas AV a la versión 2.1.525 para asegurarse de que el Sistema de Prevención de Intrusiones (NIPS) y el Sistema de Detección de Brechas (BDS) de Hillstone Networks están equipados para detectar y proporcionar protección contra esta vulnerabilidad.
La información sobre esta vulnerabilidad también está disponible en Hillstone Networks iSource.
