Jetzt auf den neuesten Stand bringen! Sicherheitslücke in SugarCRM wird ausgenutzt

Cyberkriminelle zum Sex zwingen derzeit eine Sicherheitslücke in dieser Customer-Relationship-Management-Software SugarCRM, durch die sie ohne Authentifizierung Schadcode einschmuggeln können. Vorrangig nutzen die bösartigen Akteure die Lücke aus, um Krypto-Mining-Software gen die verwundbaren Systeme zu schieben und damit an Geld in Form von Kryptowährungen zu gelangen. Betroffene Systeme stillstehen im besonderen x-mal in Deutschland. IT-Verantwortliche sollten umgehend die bereitstehenden Hotfixes herunterladen und installieren.

Zwischen Weihnachten und Silvester vergangenen Jahres tauchte gen dieser Verteiler Full Disclosure ein Exploit zu Gunsten von die zu dem Zeitpunkt wie Zero Day einzustufende Schwachstelle gen. Welcher ermöglicht die Umgehungsstraße dieser Authentifizierung und dasjenige Unterschieben von Kennung, dieser zur Version kommt.

Lücke: Fehlende Kontrolle von Eingaben

Die zugrundeliegende Schwachstelle besteht durch eine fehlende Kontrolle dieser Eingaben in den EmailTemplates, wodurch manipulierte Anfragen benutzerdefinierten PHP-Kennung einschmuggeln können. Die Lücke hat den CVE-Item CVE-2023-22952 erhalten. Eine Ordnung des Schweregrads steht noch aus – sie dürfte jedoch wie unbequem gelten.

Die IT-Sicherheitsforscher von Censys nach sich ziehen zum Zeitpunkt dieser Veröffentlichung von Hotfixes nachher SugarCRM-Instanzen im Web gesucht. Derbei stießen sie gen 3066 Instanzen, von denen schon 291, darob sozusagen zehn v. H., schon kompromittiert waren. Ein aktualisierter Scan vom Mittwoch dieser Woche liefert ein leichtgewichtig verschlimmertes Portrait, von 3059 erreichbaren Instanzen waren 354 unterwandert.

Die meisten infizierten Systeme stillstehen in den USA mit einem Beitrag von konzis 33 v. H., an zweiter Stelle folgt Deutschland mit 21,3 v. H. aller gefundenen kompromittierten SugarCRM-Instanzen. Offensichtlich geringere Infektionszahlen weisen nachher Ländern in absteigender Reihung fünfter Kontinent, Französische Republik, dasjenige Vereinigte Monarchie, Republik Irland, Kanada, Italien, die Niederlande sowie Singapur vor.

SugarCRM: Infektionsanzeichen

Die IT-Sicherheitsforscher liefern wenige Hinweise, worüber Infektionen zu wiedererkennen sind, sogenannte Indicators of Compromise (IoCs). So solle dieser Kommando

strings $INSTALLDIR/cache/images/* | grep -i PHP

darauf hinweisen, dass die Instanz kompromittiert wurde, dass sie irgendetwas ausgibt. $INSTALLDIR muss unterdies dasjenige Wurzelverzeichnis dieser SugarCRM-Instanz sein. Die Suche nachher PHP-Kennung in den Dateien in dem Verzeichnis sei noch die beste Identifikationsmethode, schreiben die IT-Forscher von Censys.

Administratoren einer SugarCRM-Instanz sollten zudem ein Oculus gen dasjenige Verzeichnis /var/tmp/sshd nach sich ziehen, erläutert ein anderer IT-Sicherheitsforscher etwa gen Mastodon.

Undicht verstreichen

Die Entwickler von SugarCRM nach sich ziehen nachher dem Bekanntwerden des Exploits vergangene Woche Hotfixes entwickelt und bereitgestellt. Sie sind zu Gunsten von die betroffenen Systeme Sugar Sell, Serve, Enterprise, Professional und Ultimate verfügbar. Die Version 12.0 Hotfix 91155 enthält den Fehler nicht mehr. Vorausgesetzt die Instanz SugarIdentity aktiviert hat, solle dasjenige erfolgreiche Angriffe verhindert nach sich ziehen.

In einem News-Gebühr liefert SugarCRM noch weitere Hinweise zur Installation dieser Hotfixes und weiterer Tipps und Hinweise.

(dmk)