Alert!

Jetzt aktualisieren! SicherheitslĂĽcke in SugarCRM wird ausgenutzt

Cyberkriminelle missbrauchen eine SicherheitslĂĽcke in SugarCRM, um verwundbaren Systemen etwa Krypto-Mining-Software unterzujubeln. Hotfixes stehen bereit.

In Pocket speichern vorlesen Druckansicht

(Bild: JLStock/Shutterstock.com)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Cyberkriminelle missbrauchen derzeit eine Sicherheitslücke in der Customer-Relationship-Management-Software SugarCRM, durch die sie ohne Authentifizierung Schadcode einschleusen können. Vorrangig nutzen die bösartigen Akteure die Lücke aus, um Krypto-Mining-Software auf die verwundbaren Systeme zu schieben und damit an Geld in Form von Kryptowährungen zu gelangen. Betroffene Systeme stehen besonders häufig in Deutschland. IT-Verantwortliche sollten umgehend die bereitstehenden Hotfixes herunterladen und installieren.

Zwischen Weihnachten und Silvester vergangenen Jahres tauchte auf der Mailingliste Full Disclosure ein Exploit für die zu dem Zeitpunkt als Zero Day einzustufende Schwachstelle auf. Der ermöglicht die Umgehung der Authentifizierung und das Unterschieben von Code, der zur Ausführung kommt.

Die zugrundeliegende Schwachstelle besteht durch eine fehlende Überprüfung der Eingaben in den EmailTemplates, wodurch manipulierte Anfragen benutzerdefinierten PHP-Code einschmuggeln können. Die Lücke hat den CVE-Eintrag CVE-2023-22952 erhalten. Eine Bewertung des Schweregrads steht noch aus – sie dürfte jedoch als kritisch gelten.

Die IT-Sicherheitsforscher von Censys haben zum Zeitpunkt der Veröffentlichung von Hotfixes nach SugarCRM-Instanzen im Internet gesucht. Dabei stießen sie auf 3066 Instanzen, von denen bereits 291, also fast zehn Prozent, bereits kompromittiert waren. Ein aktualisierter Scan vom Mittwoch dieser Woche liefert ein leicht verschlimmertes Bild, von 3059 erreichbaren Instanzen waren 354 unterwandert.

Die meisten infizierten Systeme stehen in den USA mit einem Anteil von knapp 33 Prozent, an zweiter Stelle folgt Deutschland mit 21,3 Prozent aller gefundenen kompromittierten SugarCRM-Instanzen. Deutlich geringere Infektionszahlen weisen nach Ländern in absteigender Reihung Australien, Frankreich, das Vereinigte Königreich, Irland, Kanada, Italien, die Niederlande sowie Singapur vor.

Die IT-Sicherheitsforscher liefern einige Hinweise, woran Infektionen zu erkennen sind, sogenannte Indicators of Compromise (IoCs). So solle der Befehl

strings $INSTALLDIR/cache/images/* | grep -i PHP

darauf hinweisen, dass die Instanz kompromittiert wurde, sofern sie etwas ausgibt. $INSTALLDIR muss dabei das Wurzelverzeichnis der SugarCRM-Instanz sein. Die Suche nach PHP-Code in den Dateien in dem Verzeichnis sei noch die beste Identifikationsmethode, schreiben die IT-Forscher von Censys.

Administratoren einer SugarCRM-Instanz sollten zudem ein Auge auf das Verzeichnis /var/tmp/sshd haben, erläutert ein anderer IT-Sicherheitsforscher etwa auf Mastodon.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Entwickler von SugarCRM haben nach dem Bekanntwerden des Exploits vergangene Woche Hotfixes entwickelt und bereitgestellt. Sie sind für die betroffenen Systeme Sugar Sell, Serve, Enterprise, Professional und Ultimate verfügbar. Die Version 12.0 Hotfix 91155 enthält den Fehler nicht mehr. Sofern die Instanz SugarIdentity aktiviert hat, solle das erfolgreiche Angriffe verhindert haben.

In einem News-Beitrag liefert SugarCRM noch weitere Hinweise zur Installation der Hotfixes und weiterer Tipps und Hinweise.

Lesen Sie dazu auch:

Themenseite zu SugarCRM auf heise online

(dmk)