image

"Honderden SugarCRM-servers gecompromitteerd via zerodaylek"

maandag 9 januari 2023, 10:23 door Redactie, 3 reacties

De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd.

Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd.

Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn.

Reacties (3)
09-01-2023, 12:00 door walmare
De kop klopt alleen als deze php applicatie op een windows server is geïnstalleerd.
Op een UNIX/Linux server kan alleen de applicatie worden gecompromitteerd dmv een bypass van index.php waardoor er een plaatje kan worden ge-upload dat php-code bevat.
SugarCRM service proces is dan gecompromitteerd maar deze service heeft geen systeemrechten. Een restore van de applicatie is dan voldoende. Daarnaast kunnnen de windows clients besmet worden door een driveby-download infectie (door ge-upload plaatje)
09-01-2023, 15:37 door Anoniem
Door walmare: De kop klopt alleen als deze php applicatie op een windows server is geïnstalleerd.
Op een UNIX/Linux server kan alleen de applicatie worden gecompromitteerd dmv een bypass van index.php waardoor er een plaatje kan worden ge-upload dat php-code bevat.
SugarCRM service proces is dan gecompromitteerd maar deze service heeft geen systeemrechten. Een restore van de applicatie is dan voldoende. Daarnaast kunnnen de windows clients besmet worden door een driveby-download infectie (door ge-upload plaatje)

Op Windows heeft zo'n service ook alleen maar systeemrechten als daarvoor gekozen is bij de installatie.
Kan ook prima draaien met een service account met beperkte rechten.
10-01-2023, 14:36 door Anoniem
Door Anoniem:
Door walmare: De kop klopt alleen als deze php applicatie op een windows server is geïnstalleerd.
Op een UNIX/Linux server kan alleen de applicatie worden gecompromitteerd dmv een bypass van index.php waardoor er een plaatje kan worden ge-upload dat php-code bevat.
SugarCRM service proces is dan gecompromitteerd maar deze service heeft geen systeemrechten. Een restore van de applicatie is dan voldoende. Daarnaast kunnnen de windows clients besmet worden door een driveby-download infectie (door ge-upload plaatje)

Op Windows heeft zo'n service ook alleen maar systeemrechten als daarvoor gekozen is bij de installatie.
Kan ook prima draaien met een service account met beperkte rechten.
Nee helaas. Voor windows met MSSQL heb je IIS nodig (zo werkt dat bij microsoft) voor die http stack heb je admin rechten nodig! https://support.sugarcrm.com/Resources/Supported_Platforms/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.