狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起

オープンソースの顧客管理システム「SugarCRM」において、1月前半に修正された脆弱性に対し、積極的な攻撃が展開されているとして米政府が注意喚起を行った。2022年末には悪用コードが公開済みで、ゼロデイ攻撃も展開されていたと見られ、利用者は注意する必要がある。

攻撃の対象となっているのは、入力の検証に不備があり、「EmailTemplates」において細工したリクエストによりPHPコードの挿入が可能となる「CVE-2023-22952」。あらゆるユーザー権限において脆弱性の悪用が可能だとしている。

現地時間2022年12月31日にエクスプロイトコードが公開され、これを受けて「SugarCRM」の開発チームでは、現地時間1月3日にアドバイザリを内部に向けて公開。さらに1月11日に修正版となる「同12.0.2」「同11.0.5」をリリースし、早急に更新するよう利用者に呼びかけていた。

CVE番号「CVE-2023-22952」が採番されたのも1月11日で、アドバイザリへの記載はない。米国立標準技術研究所（NIST）による脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を「高（High）」と評価している。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）では、積極的な悪用が確認されているとして、「CVE-2023-22952」を「悪用が確認された脆弱性カタログ（KEV）」に追加した。

（Security NEXT - 2023/02/03 ） ツイート

PR

関連記事

第三者が旧ポイントサービスのドメインを取得 - ヴィンクス
パスワードリスト攻撃と見られるログイン試行を確認 - WOWOW
フィッシングURLは約3割減 - ブランドの悪用被害が増加
看護師が患者資料を本に挟んで持ち帰り - 本売却から発覚
ドメイン名紛争テーマにシンポジウム - 紛争事例や対処法と今後の課題
教育支援サービス侵害、ランサムウェアによる個人情報流出の可能性
リモートアクセス用認証キー紛失、外部アクセス確認されず - デ協
ベトナム子会社でランサム被害、製造出荷に影響なし - 大日精化工業
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Apache Commons Text」旧版に深刻な脆弱性 - 「FileMaker Server」に影響