
Сотни серверов SugarCRM заражены критическим эксплойтом
В течение последних двух недель хакеры использовали критическую уязвимость в системе SugarCRM (управление взаимоотношениями с клиентами), чтобы заразить пользователей вредоносным ПО, которое дает им полный контроль над серверами.
Уязвимость обнаружилась, когда код эксплойта был опубликован в Интернете в конце декабря. Человек, опубликовавший эксплойт, описал его как обход аутентификации с удалённым выполнением кода, что означает, что злоумышленник может использовать его для запуска вредоносного кода на уязвимых серверах без каких-либо учетных данных. С тех пор SugarCRM опубликовала рекомендации, подтверждающие это описание.
Марк Эллзи, старший исследователь службы сетевого мониторинга Censys, сообщил в электронном письме, что по состоянию на 11 января компания обнаружила 354 зараженных сервера SugarCRM. Это почти 12 процентов от общего числа 3059 серверов SugarCRM.
По состоянию на прошлую неделю самый высокий уровень инфицирования был в США — 90, за ними следуют Германия, Австралия и Франция. В обновлении, опубликованном во вторник, Censys сообщила, что количество зараженных серверов значительно не увеличилось с момента первоначального сообщения.
5 января SugarCRM сообщил что обновление, исправляющее уязвимости, готово, и уже было применено к облачному сервису. Он также посоветовал пользователям с версиями, работающими за пределами SugarCloud или хостинга, управляемого SugarCRM, установить исправления.
Из сообщения следует, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. При этом атака не затронула программное обеспечение Sugar Market. Обход аутентификации, по словам Censys, работает через каталог /index.php/.
— SugarCRM.
Веб-оболочка предоставляет текстовое окно, которое злоумышленники могут использовать в качестве интерфейса для запуска команд или кода по своему выбору на скомпрометированных устройствах. На данный момент компания не знает, для чего именно злоумышленники используют уязвимость.
Консультации Censys и SugarCRM предоставляют индикаторы взлома, которые клиенты SugarCRM могут использовать, чтобы определить, были ли они атакованы. Пользователи уязвимых продуктов должны изучить и установить обновление безопасности как можно скорее.
Уязвимость обнаружилась, когда код эксплойта был опубликован в Интернете в конце декабря. Человек, опубликовавший эксплойт, описал его как обход аутентификации с удалённым выполнением кода, что означает, что злоумышленник может использовать его для запуска вредоносного кода на уязвимых серверах без каких-либо учетных данных. С тех пор SugarCRM опубликовала рекомендации, подтверждающие это описание.
Марк Эллзи, старший исследователь службы сетевого мониторинга Censys, сообщил в электронном письме, что по состоянию на 11 января компания обнаружила 354 зараженных сервера SugarCRM. Это почти 12 процентов от общего числа 3059 серверов SugarCRM.
По состоянию на прошлую неделю самый высокий уровень инфицирования был в США — 90, за ними следуют Германия, Австралия и Франция. В обновлении, опубликованном во вторник, Censys сообщила, что количество зараженных серверов значительно не увеличилось с момента первоначального сообщения.
5 января SugarCRM сообщил что обновление, исправляющее уязвимости, готово, и уже было применено к облачному сервису. Он также посоветовал пользователям с версиями, работающими за пределами SugarCloud или хостинга, управляемого SugarCRM, установить исправления.
Из сообщения следует, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. При этом атака не затронула программное обеспечение Sugar Market. Обход аутентификации, по словам Censys, работает через каталог /index.php/.
После успешного обхода аутентификации от службы получается файл cookie, а вторичный запрос POST отправляется по пути «/cache/images/sweet.phar», который загружает крошечный файл в формате PNG, содержащий PHP-код, который будет выполняется сервером при повторном запросе файла.
Это простая веб-оболочка, которая будет выполнять команды на основе значения аргумента запроса в кодировке base64 «c»
Это простая веб-оболочка, которая будет выполнять команды на основе значения аргумента запроса в кодировке base64 «c»
— SugarCRM.
Веб-оболочка предоставляет текстовое окно, которое злоумышленники могут использовать в качестве интерфейса для запуска команд или кода по своему выбору на скомпрометированных устройствах. На данный момент компания не знает, для чего именно злоумышленники используют уязвимость.
Консультации Censys и SugarCRM предоставляют индикаторы взлома, которые клиенты SugarCRM могут использовать, чтобы определить, были ли они атакованы. Пользователи уязвимых продуктов должны изучить и установить обновление безопасности как можно скорее.
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

Прогноз-2025: Кто первым нажмет красную кнопку в Третьей мировой?
Эксперты говорят: ядерная война может начаться гораздо быстрее и внезапнее, чем считалось до этого....

Ученые поражены: у растений есть секретный второй набор корней глубоко под землей
Это не только сенсация в ботанике, это вообще переворот в науке....

Найдено идеальное место для жизни на Марсе
По словам ученых, оно похоже… на нашу Сибирь....

Тайна разгадана: стало известно, почему большинство кошек предпочитают спать строго на одном боку
Оказалось, что это древний защитный механизм, которому миллионы лет....

Уникальная находка в Нидерландах: археологи обнаружили римский лагерь далеко за пределами Империи
Как лидар и искусственный интеллект нашли объект-«невидимку» II века....

Эксперты обнаружили существ, переживших прямой удар астероида, который уничтожил динозавров
Почему конец света — это вовсе не повод, чтобы вымирать?...

Ученые хотят создать хранилище микробов, чтобы те… не вымерли
Звучит кошмарно, но на самом деле от этого зависит судьба всего человечества....