Уязвимость обнаружилась, когда код эксплойта был опубликован в Интернете в конце декабря. Человек, опубликовавший эксплойт, описал его как обход аутентификации с удалённым выполнением кода, что означает, что злоумышленник может использовать его для запуска вредоносного кода на уязвимых серверах без каких-либо учетных данных. С тех пор SugarCRM опубликовала рекомендации, подтверждающие это описание.
Марк Эллзи, старший исследователь службы сетевого мониторинга Censys, сообщил в электронном письме, что по состоянию на 11 января компания обнаружила 354 зараженных сервера SugarCRM. Это почти 12 процентов от общего числа 3059 серверов SugarCRM.
По состоянию на прошлую неделю самый высокий уровень инфицирования был в США — 90, за ними следуют Германия, Австралия и Франция. В обновлении, опубликованном во вторник, Censys сообщила, что количество зараженных серверов значительно не увеличилось с момента первоначального сообщения.
5 января SugarCRM сообщил что обновление, исправляющее уязвимости, готово, и уже было применено к облачному сервису. Он также посоветовал пользователям с версиями, работающими за пределами SugarCloud или хостинга, управляемого SugarCRM, установить исправления.
Из сообщения следует, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. При этом атака не затронула программное обеспечение Sugar Market. Обход аутентификации, по словам Censys, работает через каталог /index.php/.
После успешного обхода аутентификации от службы получается файл cookie, а вторичный запрос POST отправляется по пути «/cache/images/sweet.phar», который загружает крошечный файл в формате PNG, содержащий PHP-код, который будет выполняется сервером при повторном запросе файла.
Это простая веб-оболочка, которая будет выполнять команды на основе значения аргумента запроса в кодировке base64 «c»
Это простая веб-оболочка, которая будет выполнять команды на основе значения аргумента запроса в кодировке base64 «c»
— SugarCRM.
Веб-оболочка предоставляет текстовое окно, которое злоумышленники могут использовать в качестве интерфейса для запуска команд или кода по своему выбору на скомпрометированных устройствах. На данный момент компания не знает, для чего именно злоумышленники используют уязвимость.
Консультации Censys и SugarCRM предоставляют индикаторы взлома, которые клиенты SugarCRM могут использовать, чтобы определить, были ли они атакованы. Пользователи уязвимых продуктов должны изучить и установить обновление безопасности как можно скорее.
