Sitecore Experience Platform(XP)の一連の脆弱性により、攻撃者は認証なしでリモート・コード実行(RCE)を実行し、サーバーに侵入して乗っ取ることができます。
Sitecoreは、企業がウェブサイトやデジタルメディア全体のコンテンツを作成および管理するために使用される人気のエンタープライズCMSです。
watchTowrの研究者によって発見された認証前のRCEチェーンは、本日公開された3つの異なる脆弱性で構成されています。この脆弱性は、ハードコードされたパスワードが “b “に設定された内部ユーザー(sitecoreServicesAPI)の存在に依存しており、乗っ取るのは簡単です。
このビルトインユーザーは管理者ではなく、役割も割り当てられていない。しかし、Sitecoreのバックエンドオンリーのログインチェックが非コアデータベースのコンテキストでバイパスされるため、研究者は別のログインパス(/sitecore/admin)を介して認証するためにこのユーザーを使用することができます。
その結果、有効な”.AspNet.Cookies “セッションが生成され、攻撃者はIISレベルの認証で保護された内部エンドポイントへの認証済みアクセスを許可されますが、Sitecoreのロールチェックは許可されません。
この最初の足場が確保されると、攻撃者は2つ目の脆弱性、つまりSitecoreのアップロードウィザードにおけるZip Slipの欠陥を悪用することができます。
watchTowrの説明によると、ウィザード経由でアップロードされたZIPファイルには、/../webshell.aspxのような悪意のあるファイルパスが含まれている可能性があります。パスのサニタイズとSitecoreのパスマッピングが不十分なため、システムのフルパスが分からなくても、Webrootに任意のファイルが書き込まれることになります。
これにより、攻撃者はウェブシェルをアップロードし、リモートでコードを実行することが可能になります。
3つ目の脆弱性は、Sitecore PowerShell Extensions(SPE)モジュールがインストールされている場合に悪用されます(一般的にSXAにバンドルされています)。
この欠陥により、攻撃者は攻撃者が指定したパスに任意のファイルをアップロードできるようになり、拡張子や場所の制限を完全に回避して、信頼性の高いRCEへの簡単な経路を提供します。
影響とリスク
watchTowrが報告した3つの脆弱性は、Sitecore XPのバージョン10.1から10.4に影響します。
WatchTowrのスキャンでは、22,000を超えるSitecoreインスタンスが公開されており、すべてが必ずしも脆弱ではないものの、重要な攻撃対象であることが明らかになっています。
この問題に対処するパッチは2025年5月に公開されましたが、CVE IDと技術的な詳細は、顧客にアップデートの時間を与えるため、2025年6月17日まで非公開とされました。
「Sitecoreは、銀行、航空会社、グローバル企業など、何千もの環境に導入されています。
「とwatchTowrのCEOであるBenjamin Harris氏はコメントしています。Sitecoreを使用しているのであれば、これより悪いことはありません。攻撃者が修正をリバースエンジニアリングする前に、クレジットをローテーションし、直ちにパッチを適用してください。
この記事を書いている時点では、悪用された証拠は公表されていません。
しかし、watchTowrの技術ブログには、完全に動作するエクスプロイトを構築するのに十分な詳細が記載されているため、実際に悪用されるリスクは差し迫っている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments