De Hispasec – Una al Día: Vulnerabilidades de inyección SQL en Cacti (25/12/2015)

Saludos nuevamente.

Esta es otra noticia que publicó Hispasec – Una al Día con respecto a Cacti, una herramienta de monitoreo que usamos muchos administradores de redes y sistemas. Nada más y nada menos que una vulnerabilidad de tipo SQL Injection:

Vulnerabilidades de inyección SQL en Cacti
viernes, 25 de diciembre de 2015

Se han anunciado dos vulnerabilidades en Cacti que podrían permitir a un atacante remoto realizar ataques de inyección SQL.

cacti

Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.

Los problemas residen en una validación inadecuada de los datos introducidos por el usuario. En uno de los casos en ‘graphs_new.phpfalla al tratar el parámetro ‘selected_graphs_array‘ (CVE-2015-8377); por otra parte ‘graph.phptampoco valida adecuadamente las entradas del parámetro ‘rra_id‘ (CVE-2015-8369). Un atacante remoto podría introducir valores específicamente manipulados para ejecutar comandos SQL en la base de datos subyacente.

Se han publicado pruebas de concepto que muestran los ataques. Aun no se ha publicado una versión actualizada que corrija estos problemas.

 

Más información:

[CVE-2015-8369] Cacti SQL injection in graph.php

http://seclists.org/fulldisclosure/2015/Dec/8

Cacti SQL Injection Vulnerability

http://seclists.org/fulldisclosure/2015/Dec/att-57/cacti_sqli%281%29.txt

 

Antonio Ropero

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Cacti, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *