狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起

オープンソースの顧客管理システム「SugarCRM」において、1月前半に修正された脆弱性に対し、積極的な攻撃が展開されているとして米政府が注意喚起を行った。2022年末には悪用コードが公開済みで、ゼロデイ攻撃も展開されていたと見られ、利用者は注意する必要がある。

攻撃の対象となっているのは、入力の検証に不備があり、「EmailTemplates」において細工したリクエストによりPHPコードの挿入が可能となる「CVE-2023-22952」。あらゆるユーザー権限において脆弱性の悪用が可能だとしている。

現地時間2022年12月31日にエクスプロイトコードが公開され、これを受けて「SugarCRM」の開発チームでは、現地時間1月3日にアドバイザリを内部に向けて公開。さらに1月11日に修正版となる「同12.0.2」「同11.0.5」をリリースし、早急に更新するよう利用者に呼びかけていた。

CVE番号「CVE-2023-22952」が採番されたのも1月11日で、アドバイザリへの記載はない。米国立標準技術研究所（NIST）による脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を「高（High）」と評価している。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）では、積極的な悪用が確認されているとして、「CVE-2023-22952」を「悪用が確認された脆弱性カタログ（KEV）」に追加した。

（Security NEXT - 2023/02/03 ） ツイート

PR

関連記事

一部高校生の貸出用端末で成績情報が閲覧可能に - 静岡県
レセプトデータの移管作業に用いるUSBメモリを紛失 - 群馬の病院
学習支援システムの開発サーバから生徒情報が流出か - ECC
PDFを処理する「Ghostscript」にRCE脆弱性 - アップデートで修正
「Firefox」や「Thunderbird」にアップデート - 深刻な脆弱性を修正
サイト改ざんで不正なページが表示 - 手芸用品メーカー
企業承認者のメアド流出、システム不具合で - 案件紹介サービス
再委託先でメール誤送信、イベント参加者のメアド流出 - 香川県
不正アクセスを受け、不正なメール送信 - SOMPO HD傘下の開発会社
県立高でのメール誤送信、Outlookの「取消機能」で再発 - 三重県