Son günlerde Cacti sunucularının çoğu, yamalanmasına rağmen kritik bir güvenlik açığına karşı önlem alınmamasından kaynaklı olarak siber saldırganların hedefi haline geldi.

Kimliği doğrulanmamış bir kullanıcının açık kaynaklı, web tabanlı izleme çözümünün etkilenen bir sürümünde rastgele kod yürütmesine olanak tanıyan bir kimlik doğrulama atlaması ve komut enjeksiyonunun bir kombinasyonu olan CVE-2022-46169 olarak bilinen güvenlik açığının siber saldırıya yol açtığı belirtildi. Araştırmacılar, ‘’Cacti’nin çoğu kurulumu için ana bilgisayar adına dayalı bir yetkilendirme denetimi güvenli bir şekilde uygulanmıyor. Temizlenmemiş kullanıcı girişi, harici bir komutu yürütmek için kullanılan bir diziye yayılıyor.’’ dedi.

Güvenlik açığının açıklanmasının ardından, özellikle Ukrayna’da bulunan bir IP adresinden kaynaklanan kötü amaçlı saldırılara ilişkin uyarısıyla ‘sömürü girişimlerine’ de yol açtığı gelen bilgiler arasında yer aldı. Cacti’nin yamasız sürümlerinin hala kullanıldığı; Brezilya, Endonezya, ABD, Çin, Bangladeş, Rusya, Ukrayna, Filipinler, Tayland ve Birleşik Krallık gibi ülkelerin bu güvenlik açığından etkilenebilecekleri vurgulandı.

Siber tehdit aktörlerinin saldırılarını gerçekleştirmek için yeni açıklanan güvenlik açıklarından yararlanmaları alışılmadık bir durum olmasa da kullanıcıların önlem almaması ve güvenlik açıklarını kapatmaması dikkat çeken bir durum oluyor.