Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Hack: Sicherheitslücke in SugarCRM-Servern wird aktiv ausgenutzt

Etliche SugarCRM- Server in den USA und Deutschland wurden schon gehackt . Ein Hotfix wurde bereits veröffentlicht.
/ Moritz Tremmel
Kommentare News folgen (öffnet im neuen Fenster)
Zucker kann zu Lücken führen. (Bild: Mathilde Langevin/Unsplash)
Zucker kann zu Lücken führen. Bild: Mathilde Langevin/Unsplash

Angreifer nutzen eine kritische Sicherheitslücke (CVE-2023-22952) in der Customer-Relationship-Management-Software SugarCRM aus, um Schadsoftware zu installieren und die Kontrolle über die Server zu übernehmen. Ein Hotfix steht seit Anfang Januar 2023 zur Verfügung.

Bei der Sicherheitslücke handelte es sich anfangs um eine Zero Day, als entsprechender Exploit-Code Ende Dezember 2022 online veröffentlicht wurde. Mit ihm lässt sich die Authentifizierung an der Serversoftware umgehen und anschließend Schadcode aus der Ferne auf dem Server ausführen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die Umgehung der Authentifizierung funktioniert demnach über das Verzeichnis /index.php/. "Nach erfolgreicher Umgehung der Authentifizierung wird ein Cookie vom Dienst abgerufen und eine sekundäre POST-Anfrage an den Pfad '/cache/images/sweet.phar' gesendet, die eine winzige PNG-kodierte Datei hochlädt, die PHP-Code enthält, der vom Server ausgeführt wird, wenn eine weitere Anfrage nach der Datei gestellt wird," erklärte der Netzwerkmonitoringdienst Censys(öffnet im neuen Fenster) .

SugarCRM hat am 5. Januar ein Advisory veröffentlicht(öffnet im neuen Fenster) . Demnach sind alle Server betroffen, sofern nicht die Identitätsverwaltung und SSO-Anwendung Sugaridentity eingerichtet wurde. Neben der Warnung vor der Sicherheitslücke wurde auch ein Hotfix veröffentlicht, der das Problem beheben soll. Auf die von SugarCRM selbst betriebenen Instanzen, darunter die Sugarcloud, sei der Hotfix bereits angewendet worden, erklärte der Hersteller.

Vor allem Server in USA und Deutschland gehackt

Dennoch sind weiterhin etliche Server verwundbar oder wurden bereits gehackt. Censys hat bis zum 11. Januar 354 SugarCRM-Server entdeckt, die über die Sicherheitslücke mit Schadcode infiziert wurden. Das sind knapp zwölf Prozent der insgesamt 3.059 SugarCRM-Server.

Die meisten betroffenen Server sind demnach in den USA, Deutschland, Australien und Frankreich. Censys hat Indicators of Compromise veröffentlicht, die auf einen Hack des Servers hinweisen. Neben dem Einspielen des Hotfixes sollten Admins ihre Server mit diesen prüfen.

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeUpdates & PatchesCybercrimeDatensicherheitMalwareServer