De US Cybersecurity and Infrastructure Security Agency (CISA) heeft twee zesjarige beveiligingsfouten toegevoegd die van invloed zijn op Sitecore CMS en Experience Platform (XP) aan de bekende uitgebuite catalogus van de vulling (KEV), op basis van bewijs van actieve exploitatie.
De kwetsbaarheden worden hieronder vermeld –
- CVE-2019-9874 (CVSS SCORE: 9.8) – Een deserialisatie -kwetsbaarheid in de Sitecore.Security.anticsrf -module waarmee een niet -geauthenticeerde aanvaller willekeurige code kan uitvoeren door een geserialiseerd .NET -object te verzenden in de HTTP -postparameter __csrftoken.
- CVE-2019-9875 (CVSS -score: 8.8) – Een kwetsbaarheid van deserialisatie in de module Sitecore.Security.anticsrf waarmee een geverifieerde aanvaller willekeurige code kan uitvoeren door een geserialiseerd .NET -object te verzenden in de HTTP -postparameter __csrftoken __csrftoken __csrftoken
Er zijn momenteel geen details over hoe de fouten worden bewapend in het wild en door wie, hoewel Sitecore in een update die op 30 maart 2020 werd gedeeld, zei dat het “bewust werd van actieve uitbuiting” van CVE-2019-9874. Het bedrijf maakt geen melding van CVE-2019-9875 die wordt uitgebuit.
In het licht van actieve uitbuiting moeten federale agentschappen de benodigde patches vóór 16 april 2025 toepassen om hun netwerken te beveiligen.
De ontwikkeling komt zoals Akamai zei dat het initiële exploitpogingen heeft waargenomen om potentiële servers te onderzoeken voor een nieuw bekendgemaakte beveiligingsfout dat van invloed is op het volgende.js webframework (CVE – 2015‑29927, CVSS -score: 9.1).
Een autorisatie omzeilen kwetsbaarheid, een succesvolle exploitatie kan een aanvaller in staat stellen om op middleware gebaseerde beveiligingscontroles te omzeilen door een koptekst te spoofen genaamd “X-Middleware-subrequest” die wordt gebruikt om interne aanvraagstromen te beheren. Dit zou op zijn beurt ongeoorloofde toegang tot gevoelige applicatiebronnen kunnen mogelijk maken, zei Raphael Silva van CheckMarx.
“Onder de geïdentificeerde payloads omvat een opmerkelijke techniek het gebruik van de X-Middleware-Request-header met de waarde SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware,” zei het webinfrastructuurbedrijf.
“Deze aanpak simuleert meerdere interne subrequests binnen een enkel verzoek en activeert de interne omleidingslogica van Next.js-die sterk lijkt op verschillende openbaar beschikbare proof-of-concept-exploits.”
De openbaarmakingen volgen ook een waarschuwing van Greynoise over actieve exploitatiepogingen die zijn vastgelegd tegen verschillende bekende kwetsbaarheden in Draytek -apparaten.
Het bedreigingsinlichtingenbedrijf zei dat het in de activiteits in de wildheid heeft gezien tegen de onderstaande CVE-identificatiegegevens-
- CVE-2020-8515 (CVSS-score: 9.8)-Een beveiligingslek van injectie-injectie-injectie in meerdere Draytek-routermodellen die externe code-uitvoering kunnen mogelijk maken als root via shell-metacharacters naar de cgi-bin/mainfunction.cgi uri
- CVE-2021-20123 (CVSS SCORE: 7.5) – Een lokale kwetsbaarheid van het bestand inclusie in Draytek VigorConnect waarmee een niet -geauthenticeerde aanvaller willekeurige bestanden van het onderliggende besturingssysteem met rootprivileges kunnen downloaden via het eindpunt DownloadFileServlet via het eindpunt DownloadFileServlet
- CVE-2021-20124 (CVSS SCORE: 7.5) – Een lokale kwetsbaarheid van het bestand inclusie in Draytek VigorConnect waarmee een niet -geauthenticeerde aanvaller willekeurige bestanden van het onderliggende besturingssysteem met rootprivileges via het Webservlet -eindpunt kunnen downloaden via het Webservlet -eindpunt
Indonesië, Hong Kong en de Verenigde Staten zijn naar voren gekomen als de beste bestemmingslanden van het aanvalsverkeer voor CVE-2020-8515, terwijl Litouwen, de Verenigde Staten en Singapore zijn uitgekozen als onderdeel van aanvallen die CVE-2021-20123 en CVE-2021-20124 zijn.
