Ошибка в системе SugarCRM позволяет взять полный контроль над сервером, не вводя учетные данные.
Код эксплоита был Для просмотра ссылки Войди
По данным Censys, по состоянию на 11 января было заражено 354 сервера SugarCRM (около 12% от общего числа серверов SugarCRM). Самое большое количество заражений было в США — 90 шт, затем следуют Германия, Австралия и Франция.
В бюллетене SugarCRM говорится, что уязвимость затронула программные решения Sugar Sell, Serve, Enterprise, Professional и Ultimate. Это не повлияло на ПО Sugar Market.
Обход аутентификации работает против каталога «index.php». После обхода аутентификации злоумышленник получает cookie-файл, а вторичный POST-запрос отправляется по пути «/cache/images/sweet.phar», который загружает PNG-файл, содержащий PHP-код, который будет выполняется сервером при повторном запросе файла.
PHP-код декодируется и преобразуется в веб-оболочку, представляющую из себя текстовое окно, которое хакер может использовать в качестве интерфейса для запуска команд на скомпрометированных устройствах.
- Источник новости
- www.securitylab.ru