
Сотни серверов SugarCRM заражены критическим эксплойтом
В течение последних двух недель хакеры использовали критическую уязвимость в системе SugarCRM (управление взаимоотношениями с клиентами), чтобы заразить пользователей вредоносным ПО, которое дает им полный контроль над серверами.
Уязвимость обнаружилась, когда код эксплойта был опубликован в Интернете в конце декабря. Человек, опубликовавший эксплойт, описал его как обход аутентификации с удалённым выполнением кода, что означает, что злоумышленник может использовать его для запуска вредоносного кода на уязвимых серверах без каких-либо учетных данных. С тех пор SugarCRM опубликовала рекомендации, подтверждающие это описание.
Марк Эллзи, старший исследователь службы сетевого мониторинга Censys, сообщил в электронном письме, что по состоянию на 11 января компания обнаружила 354 зараженных сервера SugarCRM. Это почти 12 процентов от общего числа 3059 серверов SugarCRM.
По состоянию на прошлую неделю самый высокий уровень инфицирования был в США — 90, за ними следуют Германия, Австралия и Франция. В обновлении, опубликованном во вторник, Censys сообщила, что количество зараженных серверов значительно не увеличилось с момента первоначального сообщения.
5 января SugarCRM сообщил что обновление, исправляющее уязвимости, готово, и уже было применено к облачному сервису. Он также посоветовал пользователям с версиями, работающими за пределами SugarCloud или хостинга, управляемого SugarCRM, установить исправления.
Из сообщения следует, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. При этом атака не затронула программное обеспечение Sugar Market. Обход аутентификации, по словам Censys, работает через каталог /index.php/.
— SugarCRM.
Веб-оболочка предоставляет текстовое окно, которое злоумышленники могут использовать в качестве интерфейса для запуска команд или кода по своему выбору на скомпрометированных устройствах. На данный момент компания не знает, для чего именно злоумышленники используют уязвимость.
Консультации Censys и SugarCRM предоставляют индикаторы взлома, которые клиенты SugarCRM могут использовать, чтобы определить, были ли они атакованы. Пользователи уязвимых продуктов должны изучить и установить обновление безопасности как можно скорее.
Уязвимость обнаружилась, когда код эксплойта был опубликован в Интернете в конце декабря. Человек, опубликовавший эксплойт, описал его как обход аутентификации с удалённым выполнением кода, что означает, что злоумышленник может использовать его для запуска вредоносного кода на уязвимых серверах без каких-либо учетных данных. С тех пор SugarCRM опубликовала рекомендации, подтверждающие это описание.
Марк Эллзи, старший исследователь службы сетевого мониторинга Censys, сообщил в электронном письме, что по состоянию на 11 января компания обнаружила 354 зараженных сервера SugarCRM. Это почти 12 процентов от общего числа 3059 серверов SugarCRM.
По состоянию на прошлую неделю самый высокий уровень инфицирования был в США — 90, за ними следуют Германия, Австралия и Франция. В обновлении, опубликованном во вторник, Censys сообщила, что количество зараженных серверов значительно не увеличилось с момента первоначального сообщения.
5 января SugarCRM сообщил что обновление, исправляющее уязвимости, готово, и уже было применено к облачному сервису. Он также посоветовал пользователям с версиями, работающими за пределами SugarCloud или хостинга, управляемого SugarCRM, установить исправления.
Из сообщения следует, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. При этом атака не затронула программное обеспечение Sugar Market. Обход аутентификации, по словам Censys, работает через каталог /index.php/.
После успешного обхода аутентификации от службы получается файл cookie, а вторичный запрос POST отправляется по пути «/cache/images/sweet.phar», который загружает крошечный файл в формате PNG, содержащий PHP-код, который будет выполняется сервером при повторном запросе файла.
Это простая веб-оболочка, которая будет выполнять команды на основе значения аргумента запроса в кодировке base64 «c»
Это простая веб-оболочка, которая будет выполнять команды на основе значения аргумента запроса в кодировке base64 «c»
— SugarCRM.
Веб-оболочка предоставляет текстовое окно, которое злоумышленники могут использовать в качестве интерфейса для запуска команд или кода по своему выбору на скомпрометированных устройствах. На данный момент компания не знает, для чего именно злоумышленники используют уязвимость.
Консультации Censys и SugarCRM предоставляют индикаторы взлома, которые клиенты SugarCRM могут использовать, чтобы определить, были ли они атакованы. Пользователи уязвимых продуктов должны изучить и установить обновление безопасности как можно скорее.
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

32 удивительных подарка за последние 20 лет: ученые пытаются понять, за что косатки «балуют» людей
Природная доброта? Любопытство? Желание выйти на контакт?...

Ученые и режиссеры все время обманывали нас насчет динозавров
Оказалось, древние ящеры бегали в четыре раза медленнее, чем считалось....

Уникальная находка в Нидерландах: археологи обнаружили римский лагерь далеко за пределами Империи
Как лидар и искусственный интеллект нашли объект-«невидимку» II века....

«Вертолетная» конструкция да Винчи может сделать беспилотники тише, быстрее и даже дешевле
Ученые поражены, насколько разработка Леонардо опередила время....

Историки задались вопросом, как же пах Древний Рим
Боимся, ответ вам может очень не понравиться....

Ученые хотят создать хранилище микробов, чтобы те… не вымерли
Звучит кошмарно, но на самом деле от этого зависит судьба всего человечества....

Череп ребенка-«пришельца» из Аргентины оказался вполне земным
Эксперты рассказали в подробностях, как могла появиться «инопланетная» форма головы....