Introducción
El 5 de marzo de 2022, SuiteCRM descubrió una vulnerabilidad de ejecución remota de código en las plantillas de correo electrónico. SuiteCRM es una aplicación gratuita de gestión de relaciones con los clientes de código abierto para servidores, que puede ser una alternativa para el software CRM propietario como Hubspot, Salesforce u otros. Como CRM de código abierto global, está fácilmente disponible y se utiliza con frecuencia, lo que hace que esta vulnerabilidad sea aún más crítica.
Vulnerabilidad
En las versiones de SuiteCRM inferiores a la 8.0.2 o a la 7.12.3, los módulos de plantillas de correo electrónico pueden verse comprometidos a través de archivos PHP maliciosos. Específicamente, las etiquetas de las imágenes podrían ser manipuladas para que sean aceptables por la regex establecida para la función. A partir de aquí, se puede crear una nueva plantilla de correo electrónico utilizando una etiqueta de imagen que puede eludir la regex establecida anteriormente, pero en su lugar, el nombre del archivo puede ser cambiado a un archivo .php. Cuando la plantilla de correo electrónico se guarda y se vuelve a cargar, el archivo .php puede ejecutarse, lo que permite a los hackers la ejecución remota de código.
Solución
Esta vulnerabilidad ha sido corregida mediante el siguiente ajuste. Se ha añadido una sentencia «if» que permite utilizar únicamente extensiones de archivo de imagen válidas en el módulo de plantilla de correo electrónico. Esto evita que se creen extensiones que no estén en la lista blanca, como los archivos .php. A partir de esto, los atacantes ya no pueden crear ilegítimamente un shell para su ejecución remota de código.
Implementación de la solución
Basándose en las características actuales de la vulnerabilidad, se recomiendan las siguientes propuestas:
- Métodos de referencia en GitHub: https://github.com/manuelz120/CVE-2021-45897
- El proveedor ha publicado parches de actualización para corregir las vulnerabilidades, visite: https://docs.suitecrm.com/
Hillstone IPS proporciona una protección adecuada contra esta vulnerabilidad, y la protección se puede configurar automáticamente dentro del dispositivo mediante la actualización de la versión de la base de datos de firmas a 3.0.98, 2.1.447. Los falsos positivos son de cero a ninguno, lo que facilita la anulación de esta vulnerabilidad. La firma correspondiente para remediar esta vulnerabilidad es la firma 336294.
Figura 1. Vulnerabilidad de ejecución remota de código resuelta por Hillstone IPS
Hillstone BDS puede apoyar la detección de la vulnerabilidad.
Figura 2. Vulnerabilidad de ejecución remota de código detectada por Hillstone BDS
La inteligencia de esta vulnerabilidad está disponible también en Hillstone iSource.
Figura 3. Inteligencia de puntos calientes en Hillstone iSource