Jetzt aktualisieren! Sicherheitslücke in SugarCRM wird ausgenutzt
Cyberkriminelle missbrauchen eine Sicherheitslücke in SugarCRM, um verwundbaren Systemen etwa Krypto-Mining-Software unterzujubeln. Hotfixes stehen bereit.
(Bild: JLStock/Shutterstock.com)
Cyberkriminelle missbrauchen derzeit eine Sicherheitslücke in der Customer-Relationship-Management-Software SugarCRM, durch die sie ohne Authentifizierung Schadcode einschleusen können. Vorrangig nutzen die bösartigen Akteure die Lücke aus, um Krypto-Mining-Software auf die verwundbaren Systeme zu schieben und damit an Geld in Form von Kryptowährungen zu gelangen. Betroffene Systeme stehen besonders häufig in Deutschland. IT-Verantwortliche sollten umgehend die bereitstehenden Hotfixes herunterladen und installieren.
Zwischen Weihnachten und Silvester vergangenen Jahres tauchte auf der Mailingliste Full Disclosure ein Exploit für die zu dem Zeitpunkt als Zero Day einzustufende Schwachstelle auf. Der ermöglicht die Umgehung der Authentifizierung und das Unterschieben von Code, der zur Ausführung kommt.
Lücke: Fehlende Überprüfung von Eingaben
Die zugrundeliegende Schwachstelle besteht durch eine fehlende Überprüfung der Eingaben in den EmailTemplates, wodurch manipulierte Anfragen benutzerdefinierten PHP-Code einschmuggeln können. Die Lücke hat den CVE-Eintrag CVE-2023-22952 erhalten. Eine Bewertung des Schweregrads steht noch aus – sie dürfte jedoch als kritisch gelten.
Die IT-Sicherheitsforscher von Censys haben zum Zeitpunkt der Veröffentlichung von Hotfixes nach SugarCRM-Instanzen im Internet gesucht. Dabei stießen sie auf 3066 Instanzen, von denen bereits 291, also fast zehn Prozent, bereits kompromittiert waren. Ein aktualisierter Scan vom Mittwoch dieser Woche liefert ein leicht verschlimmertes Bild, von 3059 erreichbaren Instanzen waren 354 unterwandert.
Die meisten infizierten Systeme stehen in den USA mit einem Anteil von knapp 33 Prozent, an zweiter Stelle folgt Deutschland mit 21,3 Prozent aller gefundenen kompromittierten SugarCRM-Instanzen. Deutlich geringere Infektionszahlen weisen nach Ländern in absteigender Reihung Australien, Frankreich, das Vereinigte Königreich, Irland, Kanada, Italien, die Niederlande sowie Singapur vor.
SugarCRM: Infektionsanzeichen
Die IT-Sicherheitsforscher liefern einige Hinweise, woran Infektionen zu erkennen sind, sogenannte Indicators of Compromise (IoCs). So solle der Befehl
strings $INSTALLDIR/cache/images/* | grep -i PHP
darauf hinweisen, dass die Instanz kompromittiert wurde, sofern sie etwas ausgibt. $INSTALLDIR muss dabei das Wurzelverzeichnis der SugarCRM-Instanz sein. Die Suche nach PHP-Code in den Dateien in dem Verzeichnis sei noch die beste Identifikationsmethode, schreiben die IT-Forscher von Censys.
Administratoren einer SugarCRM-Instanz sollten zudem ein Auge auf das Verzeichnis /var/tmp/sshd haben, erläutert ein anderer IT-Sicherheitsforscher etwa auf Mastodon.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Leck abdichten
Die Entwickler von SugarCRM haben nach dem Bekanntwerden des Exploits vergangene Woche Hotfixes entwickelt und bereitgestellt. Sie sind für die betroffenen Systeme Sugar Sell, Serve, Enterprise, Professional und Ultimate verfügbar. Die Version 12.0 Hotfix 91155 enthält den Fehler nicht mehr. Sofern die Instanz SugarIdentity aktiviert hat, solle das erfolgreiche Angriffe verhindert haben.
In einem News-Beitrag liefert SugarCRM noch weitere Hinweise zur Installation der Hotfixes und weiterer Tipps und Hinweise.
Themenseite zu SugarCRM auf heise online
(dmk)
