Phân tích lỗ hổng Unauthenticated Command Injection (CVE-2022-46169) trong phần mềm Cacti

Giới thiệu về Cacti và CVE-2022-46169

Cacti là một công cụ giám sát mạng dựa trên PHP/ MySQL sử dụng RRDTool (Round-robin database tool) với mục đích lưu trữ dữ liệu và tạo đồ họa. Cacti thu thập dữ liệu định kì thông qua Net-SNMP (một bộ phần mềm dùng để thực hiện SNMP-Simple Network Management Protocol).

CVE-2022-46169

Lỗ hổng này là lỗ hổng Unauthenticated Command Injection ảnh hưởng trên phiên bản <= 1.2.22. Bản vá hiện tại cho lỗ hổng là phiên bản 1.2.23 và 1.3.0. Tuy nhiên bản vá này vẫn chưa được release. Do đó các hệ thống chạy phiên bản mới nhất hiện tại (1.2.22) vẫn ảnh hưởng bởi lỗ hổng này.

Lỗ hổng này là unauthenticated nên attacker không cần có quyền gì đối với hệ thống vẫn có thể khai thác thành công. Tuy nhiên để khai thác thì vẫn cần có điều kiện nhất định. Cụ thể mình sẽ trình bày ở phần tiếp theo của bài viết.

Xây dựng môi trường

Để tiện nhất ở đây mình dùng docker để xây dựng môi trường. Docker compose sẽ như sau:

version: '2'
services:


  cacti:
    image: "smcline06/cacti"
    container_name: cacti
    domainname: example.com
    hostname: locahost
    ports:
      - "8088:80"
    environment:
      - DB_NAME=cacti_master
      - DB_USER=cactiuser
      - DB_PASS=cactipassword
      - DB_HOST=db
      - DB_PORT=3306
      - DB_ROOT_PASS=rootpassword
      - INITIALIZE_DB=1
      - TZ=America/Los_Angeles
    volumes:
      - cacti-data:/cacti
      - cacti-spine:/spine
      - cacti-backups:/backups
    links:
      - db


  db:
    image: "mariadb:10.3"
    container_name: cacti_db
    domainname: example.com
    hostname: db
    ports:
      - "3306:3306"
    command:
      - mysqld
      - --character-set-server=utf8mb4
      - --collation-server=utf8mb4_unicode_ci
      - --max_connections=200
      - --max_heap_table_size=128M
      - --max_allowed_packet=32M
      - --tmp_table_size=128M
      - --join_buffer_size=128M
      - --innodb_buffer_pool_size=1G
      - --innodb_doublewrite=ON
      - --innodb_flush_log_at_timeout=3
      - --innodb_read_io_threads=32
      - --innodb_write_io_threads=16
      - --innodb_buffer_pool_instances=9
      - --innodb_file_format=Barracuda
      - --innodb_large_prefix=1
      - --innodb_io_capacity=5000
      - --innodb_io_capacity_max=10000
    environment:
      - MYSQL_ROOT_PASSWORD=rootpassword
      - TZ=America/Los_Angeles
    volumes:
      - cacti-db:/var/lib/mysql


volumes:
  cacti-db:
  cacti-data:
  cacti-spine:
  cacti-backups:

Sau đó các bạn chạy docker-compose up và truy cập vào localhost:8088 tiến hành cài đặt cacti như thông thường.

Tuy nhiên docker trên là phiên bản 1.2.17. Do đó ta cần truy cập vào container chạy cati và tiến hành upgarde.

Trong container của cacti đã có sẵn file upgrade.sh tuy nhiên khi chạy file này lên thì hệ thống lại xảy ra lỗi do đó ta download file upgrade khác như sau:

wget https://raw.githubusercontent.com/scline/docker-cacti/master/upgrade.sh

Tiếp theo cấp quyền và chạy file vừa download về ta sẽ được Cacti phiên bản mới nhất là 1.2.22

Phân tích CVE-2022-46169

Theo github advisories https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf, lỗ hổng nằm trong file remote_agent.php. Khi truy cập trực tiếp vào file này ta nhận được thông báo như sau.

Cùng xem trong mã nguồn xem điều gì xảy ra khi ta truy cập trực tiếp vào file này.

Chương trình kiểm tra client xem đã được xác thực hay chưa bằng cách gọi đến hàm remote_client_authorized() nếu chưa được xác thực sẽ in ra dòng FATAL: You are not authorized to use this service sau đó exit. Kiểm tra mã nguồn của hàm remote_client_authorized.

Hàm này lấy địa chỉ IP của máy client thông qua get_client_addr và phân giải địa chỉ IP này thành tên máy chủ tương ứng thông qua gethostbyaddr. Sau đó, chương trình tìm kiếm tên máy chủ trong bảng poller nếu tìm thấy, hàm trả về true và máy client được xác thực.

Việc xác thực này có thể được bypass, đi sâu hơn vào hàm này tại lib/functions.php.

Tại đây, chương trình lấy giá trị client IP từ một trong các header

X-Forwarded-For
X-Client-IP
X-Real-IP
X-ProxyUser-Ip
CF-Connecting-IP
True-Client-IP
HTTP_X_FORWARDED
HTTP_X_FORWARDED_FOR
HTTP_X_CLUSTER_CLIENT_IP
HTTP_FORWARDED_FOR
HTTP_FORWARDED
HTTP_CLIENT_IP
REMOTE_ADDR

Tức là attacker hoàn toàn có thể kiểm soát giá trị này thông qua việc thêm header và giá trị tùy ý vào request.

Quay về hàm remote_client_authorized. Sau khi lấy ra client ip, chương trình tiến hành tìm hostname từ IP thông qua hàm gethostbyaddr sau đó tìm kiếm trong bảng poller xem có hostname tương ứng hay không.

Theo cài đặt mặc định của cacti, trong bảng poller có sẵn một hostname tương ứng với IP của máy chủ. Trong bối cảnh của bài viết, ta dựng docker trên local nên hostname tương ứng sẽ là localhost.

Do đó khi ta thêm header: X-Forwarded-For: <IP Target> sẽ bypass được bước xác thực của Cacti.

Có thể thấy response trả về đã khác so với lúc ban đầu.

Sau khi qua bước xác thực chương trình tiếp tục thực thi đoạn code sau:

Chương trình nhận param action và thực hiện Switch/Case. Nếu action=polldata chương trình sẽ gọi đến hàm poll_for_data. Tiếp tục quan sát mã nguồn của hàm này.

Tại đây 3 biến $local_data_ids, $host_id, $poller_id được lấy giá trị lần lượt từ các param local_data_ids, host_id, poller_id. Tiếp theo chương trình sẽ lấy các giá trị từ bảng poller_item tương ứng với các biến trên và đưa vào biến mảng $items. Tại đây, chương trình một lần nữa thực hiện Switch/Case với giá trị $item['action']. Nếu $item['action'] = POLLER_ACTION_SCRIPT_PHP tức là bằng 2 do POLLER_ACTION_SCRIPT_PHP=2.

Thì chương trình sẽ thưc thi câu lệnh proc_open với đối số $poller_id do attacker kiểm soát. Lỗ hổng Command injection xảy ra tại đây ví dụ khi ta truyền poller_id=;<command> thì command sẽ được thực thi.

Để khai thác thành công attacker buộc phải cung cấp host_id và local_data_id sao cho action tương ứng trong poller_item bằng 2. Cách này có thể thực hiện bằng cách brute force trên target thực tế. Tuy nhiên, mặc định khi cài Cacti, trong bảng poller_item không có action nào có giá trị là 2.