Seleccionar página

Introducción

El 5 de marzo de 2022, SuiteCRM descubrió una vulnerabilidad de ejecución remota de código en las plantillas de correo electrónico. SuiteCRM es una aplicación gratuita de gestión de relaciones con los clientes de código abierto para servidores, que puede ser una alternativa para el software CRM propietario como Hubspot, Salesforce u otros. Como CRM de código abierto global, está fácilmente disponible y se utiliza con frecuencia, lo que hace que esta vulnerabilidad sea aún más crítica. 

Vulnerabilidad

En las versiones de SuiteCRM inferiores a la 8.0.2 o a la 7.12.3, los módulos de plantillas de correo electrónico pueden verse comprometidos a través de archivos PHP maliciosos. Específicamente, las etiquetas de las imágenes podrían ser manipuladas para que sean aceptables por la regex establecida para la función. A partir de aquí, se puede crear una nueva plantilla de correo electrónico utilizando una etiqueta de imagen que puede eludir la regex establecida anteriormente, pero en su lugar, el nombre del archivo puede ser cambiado a un archivo .php. Cuando la plantilla de correo electrónico se guarda y se vuelve a cargar, el archivo .php puede ejecutarse, lo que permite a los hackers la ejecución remota de código.

Solución 

Esta vulnerabilidad ha sido corregida mediante el siguiente ajuste. Se ha añadido una sentencia «if» que permite utilizar únicamente extensiones de archivo de imagen válidas en el módulo de plantilla de correo electrónico. Esto evita que se creen extensiones que no estén en la lista blanca, como los archivos .php. A partir de esto, los atacantes ya no pueden crear ilegítimamente un shell para su ejecución remota de código.

Implementación de la solución

Basándose en las características actuales de la vulnerabilidad, se recomiendan las siguientes propuestas:

  1. Métodos de referencia en GitHub: https://github.com/manuelz120/CVE-2021-45897
  2. El proveedor ha publicado parches de actualización para corregir las vulnerabilidades, visite: https://docs.suitecrm.com/

Hillstone IPS proporciona una protección adecuada contra esta vulnerabilidad, y la protección se puede configurar automáticamente dentro del dispositivo mediante la actualización de la versión de la base de datos de firmas a 3.0.98, 2.1.447. Los falsos positivos son de cero a ninguno, lo que facilita la anulación de esta vulnerabilidad. La firma correspondiente para remediar esta vulnerabilidad es la firma 336294.

Figura 1. Vulnerabilidad de ejecución remota de código resuelta por Hillstone IPS

Hillstone BDS puede apoyar la detección de la vulnerabilidad.

Figura 2. Vulnerabilidad de ejecución remota de código detectada por Hillstone BDS

La inteligencia de esta vulnerabilidad está disponible también en Hillstone iSource.

Figura 3. Inteligencia de puntos calientes en Hillstone iSource

5 diferencias entre ciberseguridad y seguridad de la información

5 diferencias entre ciberseguridad y seguridad de la información

sBDS V3.6: Luchando en Contra de las Intrusiones con Manos Sólidas

ZTNA y su importancia en ciberseguridad

ZTNA y su importancia en ciberseguridad

Asegure las exigentes migraciones a la nube con Hillstone CloudHive V2.9

5 errores comunes de seguridad informática que no debes cometer en tu empresa

5 errores comunes de seguridad informática que no debes cometer en tu empresa

¿Sabes por qué tu empresa necesita protección en la nube?

¿Sabes por qué tu empresa necesita protección en la nube?

¿Por qué es importante capacitar al personal de tu empresa en seguridad informática?

¿Por qué es importante capacitar al personal de tu empresa en seguridad informática?

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 7 – Text4shell

¿Por qué necesitas XDR? 5 formas en las que puede funcionar

¿Por qué necesitas XDR? 5 formas en las que puede funcionar