Sitecore Experience Platform(Sitecore XP)のリモートコード実行の脆弱性であるCVE-2021-42237が積極的に利用されていることがわかりました。
Report.ashx ファイルの安全でないデシリアライゼーションによるリモートコード実行の脆弱性に関連しています。このファイルは、8.0 Initial Releaseで非推奨となったExecutive Insight Dashboard(Silverlightレポート)の駆動に使用されていました。
お客様の環境をセキュリティ対応バージョンに維持し、入手可能なセキュリティ修正プログラムをすべて遅滞なく適用することをお勧めします。
Sitecore XPは、American Express、IKEA、Carnival Cruise Lines、L’Oréal、Volvoなどの有名企業で採用されているデータ分析機能を備えたエンタープライズレベルのコンテンツ管理システム(CMS)です。
2021年10月13日、Sitecore Experience Platformに存在するリモートコード実行の脆弱性(CVE-2021-42237)に対するパッチを公開しました。
サイバーセキュリティ企業のアセットノート社は、攻撃者が脆弱性の詳細を利用してエクスプロイトを作成し、脆弱なウェブサイトを積極的に悪用することを可能にする脆弱性に関するテクニカルレポートを発表しました。
Sitecore Experience Platformシステムの特定のバージョンで発生している脆弱性が積極的に利用されています。影響を受けているオーストラリアの組織は、利用可能なセキュリティアップデートを適用する必要があります
攻撃に使用された脆弱性のあるSitecore XPコンポーネントは、分析、エンゲージメント、SEOの表示をするReport.ashxです。
この問題は、Report.ashxファイルの不完全なデシリアライゼーションによるリモートコード実行の脆弱性に関連しています。このファイルは、8.0 Initial Releaseで非推奨となった(Silverlightレポートの)Executive Insight Dashboardを駆動するために使用されていました
この脆弱性は、認証を必要とせず、リモートの攻撃者が脆弱なサーバーを悪用して、そのサーバーを完全に制御することができます。
今回のRCE脆弱性の影響を受けるSitecore XPのバージョンは以下の通りです。
- Sitecore XP 7.5 Initial Release – Sitecore XP 7.5 Update-2
- Sitecore XP 8.0 Initial Release – Sitecore XP 8.0 Update-7
- Sitecore XP 8.1 Initial Release – Sitecore XP 8.1 Update-3
- Sitecore XP 8.2 Initial Release – Sitecore XP 8.2 Update-7
影響を受けないバージョンは以下の通りです
- Sitecore XP versions 7.2 Update-6以前
- Sitecore XP versions 9.0 Initial Release以降
この脆弱性は、すべてのバージョンのSitecore XPに影響します。
シングルインスタンス環境、マルチインスタンス環境、マネージドクラウド環境、インターネットに公開されているすべてのSitecoreサーバーロール(コンテンツ配信、コンテンツ編集、レポート、処理など)が含まれます。
解決策は、安全なバージョン、理想的にはSitecore XP 9.0以上にアップグレードすることです。
また、すべてのサーバーインスタンスの「/sitecore/shell/ClientBin/Reporting/Report.ashx」からReport.ashxファイルを削除することで、この脆弱性を軽減することができます。
解決方法
この脆弱性を修正するには、以下の方法があります。
Sitecore XP 7.5.0 ~ Sitecore XP 7.5.2 の場合、以下のいずれかの方法で対処してください。
- Sitecore XPインスタンスをSitecore XP 9.0.0以降にアップグレードする。
- Executive Insight Dashboardの必要性を考慮して、すべてのサーバーインスタンスから/sitecore/shell/ClientBin/Reporting/Report.ashxファイルを削除します。
- Sitecore XPインスタンスをSitecore XP 8.0.0~Sitecore XP 8.2.7バージョンにアップグレードし、以下の解決策を適用します。
Sitecore XP 8.0.0 – Sitecore XP 8.2.7の場合、すべてのサーバーインスタンスから/sitecore/shell/ClientBin/Reporting/Report.ashxのReport.ashxファイルを削除します。
Comments