Censys บริษัทด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานการพบเซิร์ฟเวอร์ Cacti ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ไม่ได้รับการอัปเดตช่องโหว่ด้านความปลอดภัยที่มีหมายเลข CVE-2022-46169 ซึ่งพึ่งถูกค้นพบในเดือนธันวาคม 2022 ที่ผ่านมา ทำให้ตกเป็นเป้าหมายในการโจมตีของกลุ่ม Hackers

CVE-2022-46169 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ใน Cacti Servers ที่สามารถ bypass การตรวจสอบสิทธิ์และเรียกใช้งานคำสั่งที่เป็นอันตรายบนเวอร์ชันที่เป็น open-source, web-based monitoring solution

จากการตรวจของ Censys สอบพบว่ามีเซิร์ฟเวอร์ Cacti เพียง 26 เซิร์ฟเวอร์ จากทั้งหมด 6,427 เซิร์ฟเวอร์ ที่มีการอัปเดตเวอร์ชันเพื่อปิดช่องโหว่ (version 1.2.23 และ 1.3.0) อีกทั้งนักวิจัยของ SonarSource บริษัทด้านความปลอดภัยไซเบอร์ยังได้ให้ข้อมูลเพิ่มเติมว่า พบเซิร์ฟเวอร์ Cacti ที่ยังไม่ได้อัปเดตเพื่อป้องกันช่องโหว่ถึง 1,320 เซิร์ฟเวอร์ โดยมาจากประเทศต่าง ๆ ได้แก่ บราซิล อินโดนีเซีย สหรัฐอเมริกา จีน บังคลาเทศ รัสเซีย ยูเครน ฟิลิปปินส์ อังกฤษ และประเทศไทย อีกทั้งยังพบการโจมตีช่องโหว่ดังกล่าวแล้ว ซึ่งพบว่า IP ที่โจมตีมานั้นส่วนใหญ่มาจากประเทศยูเครน

Cacti Server ที่ได้รับผลกระทบ

Cacti Server เวอร์ชัน 1.2.22 และต่ำกว่า

วิธีการแก้ไข

ทำการอัปเดต Cacti Server เป็นเวอร์ชัน 1.2.23 และ 1.3.0 เพื่อปิดช่องโหว่โดยเร็วที่สุด

ที่มา : thehackernews