Saludos nuevamente.
Esta es otra noticia que publicó Hispasec – Una al Día con respecto a Cacti, una herramienta de monitoreo que usamos muchos administradores de redes y sistemas. Nada más y nada menos que una vulnerabilidad de tipo SQL Injection:
Vulnerabilidades de inyección SQL en Cacti
viernes, 25 de diciembre de 2015
Se han anunciado dos vulnerabilidades en Cacti que podrían permitir a un atacante remoto realizar ataques de inyección SQL.
Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Los problemas residen en una validación inadecuada de los datos introducidos por el usuario. En uno de los casos en ‘graphs_new.php‘ falla al tratar el parámetro ‘selected_graphs_array‘ (CVE-2015-8377); por otra parte ‘graph.php‘ tampoco valida adecuadamente las entradas del parámetro ‘rra_id‘ (CVE-2015-8369). Un atacante remoto podría introducir valores específicamente manipulados para ejecutar comandos SQL en la base de datos subyacente.
Se han publicado pruebas de concepto que muestran los ataques. Aun no se ha publicado una versión actualizada que corrija estos problemas.
Más información:
[CVE-2015-8369] Cacti SQL injection in graph.php
http://seclists.org/fulldisclosure/2015/Dec/8
Cacti SQL Injection Vulnerability
http://seclists.org/fulldisclosure/2015/Dec/att-57/cacti_sqli%281%29.txt
Antonio Ropero