Honderden SugarCRM-servers gecompromitteerd via zerodaylek

[Captain Kirk]

De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd.

Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd.

Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn.

 

bron: https://www.security.nl