Критическая уязвимость, получившая идентификатор CVE-2025-22604, обнаружена в популярном открытом программном обеспечении Cacti, используемом для мониторинга сетевой инфраструктуры и управления ее неисправностями. Эта брешь, имеющая критический рейтинг 9.1 по шкале CVSS, позволяет злоумышленникам, прошедшим аутентификацию, удаленно выполнять произвольный код. Эксплуатация данной уязвимости, обнаруженной исследователем под псевдонимом u32i, может иметь серьезные последствия для безопасности и целостности сети.
Проблема заключается в некорректной обработке многострочных результатов SNMP, полученных от сетевого оборудования. Злоумышленники могут внедрять специально сформированные OID (идентификаторы объектов) в ответ SNMP. Затем эти вредоносные OID обрабатываются функциями
Эксплуатация этой уязвимости открывает широкий спектр возможностей для злоумышленников. Имея права доступа к управлению устройствами, они могут выполнять любые команды на сервере. В результате, они могут похищать конфиденциальные данные, модифицировать их или полностью удалять. Также возможно развертывание вредоносного программного обеспечения или проведение атак типа «отказ в обслуживании».
Уязвимости подвержены все версии Cacti вплоть до версии 1.2.28 включительно. Необходимость срочного обновления до версии 1.2.29 не вызывает сомнений. Игнорирование данной угрозы может привести к непредсказуемым последствиям для организаций, использующих Cacti.
Кроме того, в Cacti была выявлена еще одна уязвимость (CVE-2025-24367) с высоким уровнем опасности (7.2 по шкале CVSS). Эта уязвимость также связана с удаленным выполнением кода и основана на возможности создания произвольных PHP-скриптов путем злоупотребления функционалом создания графиков и шаблонов графиков. В результате аутентифицированный атакующий может сгенерировать произвольный PHP-скрипт в корневом каталоге веб-приложения, что также приведет к выполнению произвольного кода.
Стоит отметить, что в прошлом Cacti уже подвергался атакам с использованием уязвимостей. Это подчеркивает необходимость постоянного мониторинга и своевременного применения обновлений безопасности. Организации, использующие Cacti, должны немедленно установить версию 1.2.29 для защиты своей инфраструктуры от потенциальных атак.
Уязвимость CVE-2025-22604 с критическим рейтингом 9.1 ставит под угрозу все версии Cacti, включая версию 1.2.28. Уязвимость CVE-2025-24367 с рейтингом 7.2 также подвергает риску пользователей старых версий Cacti. Для обеих уязвимостей исправленная версия – 1.2.29. Промедление с обновлением может привести к серьезным последствиям.
Функции
Таким образом, организациям, использующим Cacti, настоятельно рекомендуется немедленно обновить свое программное обеспечение до версии 1.2.29. Это действие является критически важным для обеспечения безопасности их сетевой инфраструктуры и защиты от потенциальных кибератак.
Изображение носит иллюстративный характер
Проблема заключается в некорректной обработке многострочных результатов SNMP, полученных от сетевого оборудования. Злоумышленники могут внедрять специально сформированные OID (идентификаторы объектов) в ответ SNMP. Затем эти вредоносные OID обрабатываются функциями
ss_net_snmp_disk_io() или ss_net_snmp_disk_bytes(). Часть этих идентификаторов используется в качестве ключей в массиве, который встраивается в системную команду, что в итоге приводит к выполнению произвольного кода на сервере. Эксплуатация этой уязвимости открывает широкий спектр возможностей для злоумышленников. Имея права доступа к управлению устройствами, они могут выполнять любые команды на сервере. В результате, они могут похищать конфиденциальные данные, модифицировать их или полностью удалять. Также возможно развертывание вредоносного программного обеспечения или проведение атак типа «отказ в обслуживании».
Уязвимости подвержены все версии Cacti вплоть до версии 1.2.28 включительно. Необходимость срочного обновления до версии 1.2.29 не вызывает сомнений. Игнорирование данной угрозы может привести к непредсказуемым последствиям для организаций, использующих Cacti.
Кроме того, в Cacti была выявлена еще одна уязвимость (CVE-2025-24367) с высоким уровнем опасности (7.2 по шкале CVSS). Эта уязвимость также связана с удаленным выполнением кода и основана на возможности создания произвольных PHP-скриптов путем злоупотребления функционалом создания графиков и шаблонов графиков. В результате аутентифицированный атакующий может сгенерировать произвольный PHP-скрипт в корневом каталоге веб-приложения, что также приведет к выполнению произвольного кода.
Стоит отметить, что в прошлом Cacti уже подвергался атакам с использованием уязвимостей. Это подчеркивает необходимость постоянного мониторинга и своевременного применения обновлений безопасности. Организации, использующие Cacti, должны немедленно установить версию 1.2.29 для защиты своей инфраструктуры от потенциальных атак.
Уязвимость CVE-2025-22604 с критическим рейтингом 9.1 ставит под угрозу все версии Cacti, включая версию 1.2.28. Уязвимость CVE-2025-24367 с рейтингом 7.2 также подвергает риску пользователей старых версий Cacti. Для обеих уязвимостей исправленная версия – 1.2.29. Промедление с обновлением может привести к серьезным последствиям.
Функции
ss_net_snmp_disk_io() и ss_net_snmp_disk_bytes(), задействованные в обработке SNMP-запросов, являются ключевыми элементами, позволяющими злоумышленникам использовать уязвимость CVE-2025-22604. Поэтому, помимо обновления, рекомендуется усилить меры безопасности, связанные с мониторингом SNMP и ограничениями доступа к управлению устройствами в Cacti. Таким образом, организациям, использующим Cacti, настоятельно рекомендуется немедленно обновить свое программное обеспечение до версии 1.2.29. Это действие является критически важным для обеспечения безопасности их сетевой инфраструктуры и защиты от потенциальных кибератак.
