开源管理工具Cacti修复严重的IP欺骗漏洞

Cacti 是一款用PHP语言编写的热门开源网络监控和故障管理工具，RRDTool意指“轮询调度数据库工具”。虽然Cacti通常无法从公开网络中访问到，但对服务器具有网络访问权限的攻击者能够在无需认证的情况下利用该远程代码执行 (RCE) 漏洞。

该漏洞影响Cacti 1.2.22 版本，且已在版本1.2.23和1.3.0中修复。

该漏洞位于Cacti 的PHP文件中，可导致远程代理在服务器上运行不同的操作。而该文件提供的唯一一个安保措施是检查这些请求是否源自授权的IP地址。遗憾的是，IP地址可以通过HTTP标头的正确配置进行欺骗。这就导致攻击者在无需认证Cacti应用的情况下获得对该文件命令的访问权限。

Cacti 的一名维护人员Mark Brugnoli-Vinten提到，“如果攻击者能够访问运行 Cacti 的监控平台，则exploit 并不难执行。我所知道的多数安装程序并不会在互联网上进行广告，因此影响基本仅限于内部攻陷。如果它们能够访问你的内网，则会有更大的问题出现，而这些都是它们能够利用的。”

易受攻击文件中的其中一个函数是 polldata，它负责从基于用户提供的参数的后端数据库中加载数据。如果将服务器配置为允许PHP脚本操作，则攻击者可利用该命令在服务器上执行任意脚本。

安全公告指出，该配置“很可能位于生产实例上，因为该操作时由一些预先定义的模板添加的。” Brugnoli-Vinten指出，“如成功利用该漏洞，攻击者就能够在和网站流程执行一样的同样用户下运行命令。”不过他提到，只要系统“获得通过所推荐安全程序的保护，如AppArmour/SELinux 甚至是单独的用户/组权限，则影响应该基本是有限的”。

该漏洞的CVSS 评分为9.8，Brugnoli-Vinten 指出这就是“我们在发布还没准备完全之前发布该安全公告的一个原因”。Cacti 团队在发现该漏洞的研究员 Stefan Schiller 的协助下修复了该漏洞。

该漏洞让团队在PHP安全编码方面吸取了一些经验教训。

Brugnoli-Vinten 解释称，“近年来，我一直在说你永远都不应该信任用户输入，确保输入使合法的。它同样也适用于环境中的设置。例如，PHP在变量 $_SERVER 中提供很多信息，甚至是该语言的有经验用户也可能未意识到系统设置了哪些条目以及浏览器提供了哪些条目。如果条目源自浏览器，则可能被欺骗。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。