狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起

オープンソースの顧客管理システム「SugarCRM」において、1月前半に修正された脆弱性に対し、積極的な攻撃が展開されているとして米政府が注意喚起を行った。2022年末には悪用コードが公開済みで、ゼロデイ攻撃も展開されていたと見られ、利用者は注意する必要がある。

攻撃の対象となっているのは、入力の検証に不備があり、「EmailTemplates」において細工したリクエストによりPHPコードの挿入が可能となる「CVE-2023-22952」。あらゆるユーザー権限において脆弱性の悪用が可能だとしている。

現地時間2022年12月31日にエクスプロイトコードが公開され、これを受けて「SugarCRM」の開発チームでは、現地時間1月3日にアドバイザリを内部に向けて公開。さらに1月11日に修正版となる「同12.0.2」「同11.0.5」をリリースし、早急に更新するよう利用者に呼びかけていた。

CVE番号「CVE-2023-22952」が採番されたのも1月11日で、アドバイザリへの記載はない。米国立標準技術研究所（NIST）による脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を「高（High）」と評価している。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）では、積極的な悪用が確認されているとして、「CVE-2023-22952」を「悪用が確認された脆弱性カタログ（KEV）」に追加した。

（Security NEXT - 2023/02/03 ） ツイート

PR

関連記事

学生向けのイベント当選通知でメール誤送信 - 兵庫県立大
職員アカウントが侵害、スパムの踏み台に - 日中経済協会
保護者の同意なく子どもの個人情報をPTAへ提供 - 小田原市
「FortiOS」の「SSL VPN」脆弱性に関するアドバイザリを更新
PC83台が所在不明、委託先従業員が盗難容疑で逮捕 - 浦添市
「Splunk Enterprise」にアップデート - 「クリティカル」脆弱性など解消
「Cisco ISE」にRCE脆弱性 - 端末の接続に影響するおそれも
廃棄PCに個人情報が残存、第三者が取得 - スポーツ用品メーカー
ロードバランサ「HAProxy」に脆弱性 - 同期破壊のおそれ
「Webmin」に認証バイパスなど複数の脆弱性 - 最新版で修正