1. Aktuelle Seite:  
  2. Prinz-Blog
  3. SugarCRM attackiert

SugarCRM attackiert

Anbieter hat Sicherheitslücken geschlossen

Als Customer Relationship Management unterstützt SugarCRM Unternehmen bei der Verwaltung und Optimierung ihrer Kundenbeziehungen. In diesem System werden insbesondere personenbezogene Daten verarbeitet. Mit dem Ziel, die Prozesse im Vertrieb und die Beziehungen zum Kunden immer weiter zu verbessern. Die Interaktion mit Kundinnen und Kunden werden dokumentiert und die jeweils relevanten Informationen stehen dem Team meist zentral zur Verfügung. In diesem sensiblen Umfeld muss die Sicherheit der Daten also unbedingt großgeschrieben werden. Angriffe auf ein solches System sind daher immer kritisch zu bewerten.

Unzureichende Überprüfungen

Doch nun wurde ausgerechnet SugarCRM angegriffen. Was für die Nutzerinnen und Nutzer, deren Kundendaten gefährdet waren, wie für den Anbieter des beliebten Systems, das durch solche Vorfälle natürlich in Misskredit geraten kann, gleichermaßen kritisch zu bewerten ist. Die Ursache für die Angriffe sollen unzureichende Überprüfungen gewesen sein. Inzwischen hat der Hersteller aber Sicherheitspatches zur Verfügung gestellt. Schadcode konnte übrigens auf zwei Wegen ins System gelangen.

Risikostufe als hoch eingestuft

CVE-Nummern, mit denen bekannte Sicherheitslücken in Soft- und Hardware zur eindeutigen Identifizierung gekennzeichnet werden, wurden noch nicht vergeben. Die Risikostufe wurde von den Entwicklern, so ist es den Sicherheitswarnungen zu entnehmen, allerdings als hoch klassifiziert. Die Ursache des Problems liegt in der unzureichenden Prüfung von Nutzereingaben durch das Notes-Modul. Aufgrund dessen konnten Angreifer PHP-Code in das System hochladen.

Sicherheitslücke Nummer zwei

Eine zweite Schwachstelle fand sich im Import-Modul. Dort wurden Eingaben über das Parameter „field name" nicht ausreichend bereinigt. So konnte Schadcode über eine Path-Traversal-Attacke in das System gelangen, bei der unberechtigte Angreifer versuchen, auf Dateien oder Verzeichnisse zuzugreifen. In beiden Fällen sollen die Berechtigungen von regulären Nutzern für die Angriffe ausgereicht haben.

Update der Entwickler

Die Entwickler von SugarCRM teilen inzwischen mit, dass die Probleme in den untenstehenden Versionen gelöst seien. Für Kunden, die Cloud-Lösungen nutzen, würden die Updates automatisch ausgeliefert.

  • SugarCRM 12.0 (Enterprise, Sell, Serve) 12.0.4
  • SugarCRM 13.0 (Enterprise, Sell, Serve) 13.0.2


Sicherheitslücken professionell begegnen

Unter 09122 6937302 erreichen Sie uns telefonisch, wenn Sie Fragen zur Datensicherheit haben. Alternativ können Sie uns selbstverständlich auch Ihre persönliche Nachricht senden. Wir freuen uns, von Ihnen zu hören oder zu lesen!

Ihr Team von Datenschutz Prinz 

Whistleblower verrät wie gewinnreich die Herstellu...
Patienten haben Anspruch auf eine kostenlose erste...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.