CVE-2022-46169：Cacti命令注入漏洞

2022-12-07 15:19

报告编号：B6-2022-120701

报告来源：360CERT

报告作者：360CERT

更新日期：2022-12-07

0x01 漏洞简述

2022年12月07日，360CERT监测发现Cacti的漏洞细节在互联网公开，漏洞编号为CVE-2022-46169，漏洞等级：严重，漏洞评分：9.8。

Cacti项目是一个开源平台，可为用户提供强大且可扩展的操作监控和故障管理框架。

对此，360CERT建议广大用户及时将Cacti升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	严重
影响面	一般
攻击者价值	高
利用难度	低
360CERT评分	9.8

0x03 漏洞详情

CVE-2022-46169: Cacti命令注入漏洞

CVE: CVE-2022-46169

组件: Cacti

漏洞类型: 命令注入

影响: 代码执行

简述: 该漏洞存在于“remote_agent.php”文件中，攻击者无需身份验证即可访问此文件。攻击者可利用get_nfilter_request_var()函数检索的参数$poller_id，来满足poller_item =POLLER_ACTION_SCRIPT_PHP条件，触发proc_open()函数，从而导致命令执行。漏洞利用成功后，未经身份验证的攻击者可以在运行 Cacti 的服务器上执行任意代码。

0x04 影响版本

组件	影响版本	安全版本
Cacti	1.2.22	1.2.23 、 1.3.0

0x05 修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本。

Cacti官方已针对该漏洞发布补丁，但补丁更新版本1.2.23和1.3.0目前暂未发布，详见：

https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

临时修补建议

1. 禁止lib/functions.php 文件中的 get_client_addr函数返回任意IP地址来防止授权绕过。同时不遵守 HTTP_... $_SERVER 变量。

2. 对 remote_agent.php 文件应用以下更改来防止命令注入：变量 $poller_id 应该是一个整数，因此应该通过函数 get_filter_request_var 替代 get_nfilter_request_var 来检索：

    function poll_for_data() {
            // ...
               $poller_id      = get_filter_request_var('poller_id');
               // ...

3. 为了进一步加强对命令注入的防御，$poller_id 在传递给 proc_open 之前应该使用 escapeshellarg 进行转义。

    function poll_for_data() {
    // ...
    $cactiphp = proc_open(read_config_option('path_php_binary') . ' -q ' . $config['base_path'] . '/script_server.php realtime ' . escapeshellarg($poller_id), $cactides, $pipes);
    // ...