"Honderden SugarCRM-servers gecompromitteerd via zerodaylek"
De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd.
Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd.
Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn.
Op een UNIX/Linux server kan alleen de applicatie worden gecompromitteerd dmv een bypass van index.php waardoor er een plaatje kan worden ge-upload dat php-code bevat.
SugarCRM service proces is dan gecompromitteerd maar deze service heeft geen systeemrechten. Een restore van de applicatie is dan voldoende. Daarnaast kunnnen de windows clients besmet worden door een driveby-download infectie (door ge-upload plaatje)
Op een UNIX/Linux server kan alleen de applicatie worden gecompromitteerd dmv een bypass van index.php waardoor er een plaatje kan worden ge-upload dat php-code bevat.
SugarCRM service proces is dan gecompromitteerd maar deze service heeft geen systeemrechten. Een restore van de applicatie is dan voldoende. Daarnaast kunnnen de windows clients besmet worden door een driveby-download infectie (door ge-upload plaatje)
Op Windows heeft zo'n service ook alleen maar systeemrechten als daarvoor gekozen is bij de installatie.
Kan ook prima draaien met een service account met beperkte rechten.
Op een UNIX/Linux server kan alleen de applicatie worden gecompromitteerd dmv een bypass van index.php waardoor er een plaatje kan worden ge-upload dat php-code bevat.
SugarCRM service proces is dan gecompromitteerd maar deze service heeft geen systeemrechten. Een restore van de applicatie is dan voldoende. Daarnaast kunnnen de windows clients besmet worden door een driveby-download infectie (door ge-upload plaatje)
Op Windows heeft zo'n service ook alleen maar systeemrechten als daarvoor gekozen is bij de installatie.
Kan ook prima draaien met een service account met beperkte rechten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
