Monitoring-Software: Cacti-Sicherheitslücken erlauben Einschleusen von Schadcode
Eine aktualisierte Version der Monitoring-Software Cacti schließt mehrere, teils kritische Sicherheitslücken. Angreifer können dadurch Code einschmuggeln.
Sicherheitslücken gefährden die Netzwerksicherheit.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Monitoring-Software Cacti schließt mit der neuen Version 1.2.27 unter anderem mehrere Sicherheitslücken. Der Schweregrad reicht bis zur Einstufung "kritisch" und ermöglicht Angreifern etwa, Schadcode einzuschleusen oder Schaden mit SQL-Injections anzurichten.
Das Changelog benennt neun Änderungen in Cacti als Sicherheitspatches. Angemeldete Nutzer mit der Berechtigung, Templates zu importieren, können aufgrund einer Schwachstelle, die das Schreiben beliebiger Dateien in der Paket-Import-Funktion erlaubt, beliebigen Schadcode einschleusen (CVE-2024-25641, CVSS 9.1, Risiko "kritisch").
Alte Cacti-Version mit hochriskanten und kritischen Lücken
Authentifizierte Angreifer können zudem eine SQL-Injection-Schwachstelle in api_automation.php in der Funktion automation_get_new_graphs_sql missbrauchen, um ihre Rechte auszuweiten oder Schadcode einzuschleusen und auszuführen (CVE-2024-31445, CVSS 8.8, hoch). Ein Problem mit Einbinden von Dateien in lib/plugin.php lässt sich mit SQL-Injection-Schwachstellen kombinieren, um beliebigen Code einzuschmuggeln (CVE-2024-31459, kein CVSS-Wert, hoch).
Die anderen Schwachstellen stufen die Entwickler als mittleres Risiko ein. Folgende Sicherheitslücken, absteigend nach Schweregrad sortiert, schließt die neue Cacti-Version:
- RCE vulnerability when importing packages, CVE-2024-25641, CVSS 9.1, kritisch
- SQL Injection vulnerability when retrieving graphs using Automation API, CVE-2024-31445, CVSS 8.8, hoch
- RCE vulnerability when plugins include files, CVE-2024-31459, kein CVSS-Wert, hoch
- XSS vulnerability when managing data queries, CVE-2024-31443, CVSS 5.7, mittel
- XSS vulnerability when reading tree rules with Automation API, CVE-2024-31444, CVSS 4.6, mittel
- SQL Injection vulnerability when using form templates, CVE-2024-31458, CVSS 4.6, mittel
- Authentication bypass when using older password hashes, CVE-2024-34340, CVSS 4.2, mittel
- SQL Injection vulnerability when using tree rules through Automation API, CVE-2024-31460, kein CVSS-Wert, mittel
- XSS vulnerability when using JavaScript based messaging API, CVE-2024-29894, kein CVSS-Wert, mittel
Da einige der Lücken als kritisch respektive hochriskant gelten, sollten IT-Verantwortliche ihre Cacti-Systeme zügig auf den neuen Stand bringen. Die aktualisierte Fassung steht auf der Download-Seite von Cacti zum Herunterladen bereit.
Zuletzt hatten die Entwickler im Januar Sicherheitslecks in Cacti gestopft. Auch dort ermöglichten die hochriskanten Sicherheitslücken SQL-Injections oder das Einschleusen von beliebigem PHP-Code.
(dmk)