Cybersecurity-onderzoekers hebben drie beveiligingsfouten bekendgemaakt in het Popular Sitecore Experience Platform (XP) dat kan worden geketend om vooraf geauthertificeerde externe code-uitvoering te bereiken.
Sitecore Experience Platform is een enterprise-georiënteerde software die gebruikers tools biedt voor contentbeheer, digitale marketing en analyses en rapporten.
De lijst met kwetsbaarheden, die nog moeten worden toegewezen CVE -identificatoren, is als volgt –
- Gebruik van hard gecodeerde referenties
- Post-geauthenticeerde externe code-uitvoering via Path Traversal
- Post-geauthenticeerde externe code-uitvoering via Sitecore PowerShell-extensie
Wachttowr Labs-onderzoeker Piotr Bazydlo zei dat het standaard gebruikersaccount “Sitecore ServicesApi” een wachtwoord met één karakter heeft dat hard is gecodeerd “B. “
Hoewel de gebruiker geen rollen en machtigingen heeft toegewezen in Sitecore, ontdekte het aanvalsoppervlakbeheerbedrijf dat de inloggegevens afwisselend kunnen worden gebruikt tegen het “/Sitecore/admin” API -eindpunt om zich aan te melden als “Sitecore ServicesAPI” en een geldige sessiecookie voor de gebruiker te verkrijgen.
“Hoewel we geen toegang hebben tot ‘sitecore -applicaties’ (waar een aanzienlijk deel van de functionaliteit wordt gedefinieerd) omdat de ServicesAPI geen rol heeft toegewezen, kunnen we nog steeds: (1) toegang krijgen tot een aantal API’s, en (2) door IIS -autorisatieregels gaan en rechtstreeks toegang hebben tot enkele eindpunten,” legde Bazydlo uit.
Dit op zijn beurt opent op de deur voor externe uitvoering op afstand via een kwetsbaarheid van ZIP -slip die het mogelijk maakt om een speciaal vervaardigd zip -bestand te uploaden via de “/sitecore/shell/applications/dialogs/upload/upload2.aspx” eindpunt en de inhoud van het archief veroorzaakt (bijv. Een webschil)
De hele reeks acties wordt hieronder vermeld –
- Verifiëren als de gebruiker “Sitecore ServicesApi”
- Toegang upload2.aspx
- Upload een zip -bestand, dat een webshell bevat genaamd //../
- Controleer wanneer u wordt gevraagd de UNZIP -optie en voltooi de upload
- Toegang tot de webshell
De derde kwetsbaarheid heeft te maken met een onbeperkt bestand uploaden fouten in PowerShell -extensies die ook kunnen worden benut als de gebruiker “Sitecore ServicesApi” om externe code -uitvoering te bereiken via de “/siteCore%20Modules/shell/Powershell/uploadfile/powershelluploadfile2.aspx” eindpunt.
WatchTowr wees erop dat het hardgecodeerde wachtwoord afkomstig is van binnen het installatieprogramma van Sitecore die een vooraf geconfigureerde gebruikersdatabase importeert met het ServicesAPI-wachtwoord ingesteld op “b.” Deze wijziging, zei het bedrijf, werd in werking gestart met startversie 10.1.
Dit betekent ook dat de exploitketen alleen werkt als gebruikers Sitecore hebben geïnstalleerd met behulp van installateurs voor versies ≥ 10.1. Gebruikers worden waarschijnlijk niet beïnvloed als ze eerder vóór 10.1 een versie hebben uitgevoerd en vervolgens worden opgewaardeerd naar een nieuwere kwetsbare versie, ervan uitgaande dat de oude database wordt gemigreerd, en niet de database ingebed in het installatiepakket.
Met eerder bekendgemaakte gebreken in Sitecore XP die onder actieve uitbuiting in het wild komen (CVE-2019-9874 en CVE-2019-9875), is het essentieel dat gebruikers de nieuwste patches, zo niet al, toepassen om te beschermen tegen potentiële cyberdreigingen.
“Standaard, recente versies van Sitecore verzonden met een gebruiker met een hard gecodeerd wachtwoord van ‘b.’ Het is 2025, en we kunnen niet geloven dat we dit nog moeten zeggen, maar dat is heel erg, “vertelde Benjamin Harris, CEO en oprichter van Watchtowr, aan het Hacker News in een verklaring.
“Sitecore wordt ingezet in duizenden omgevingen, waaronder banken, luchtvaartmaatschappijen en wereldwijde ondernemingen-dus de explosie-straal hier is enorm. En nee, dit is niet theoretisch: we hebben de volledige keten gerund, end-to-end. Als je Sitecore runt, wordt het niet erger dan dit-roteer credit en patch onmiddellijk voordat aanvallers in EVitable The Fix.”
