ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna Sitecore CMS ve Deneyim Platformunu (XP) etkileyen iki altı yıllık güvenlik kusuru ekledi.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2019-9874 (CVSS Puanı: 9.8) – Sitecore.security.anticsrf modülü, kimlik doğrulanmamış bir saldırganın HTTP post parametresinde serileştirilmiş bir .NET nesnesi __csrftoken
- CVE-2019-9875 (CVSS Puanı: 8.8) – Sitecore.security.anticsrf modülü, kimlik doğrulamalı bir saldırganın HTTP post parametresine serileştirilmiş bir .NET nesnesi göndererek keyfi kod yürütmesine izin veren bir fasilileştirme kırılganlığı
Şu anda, 30 Mart 2020’de paylaşılan bir güncellemede Sitecore, CVE-2019-9874’ün “aktif sömürüsünün farkında” olduğunu söyledi. Şirket, CVE-2019-9875’ten yararlanılmasından bahsetmemektedir.
Aktif sömürü ışığında, federal ajansların ağlarını güvence altına almak için 16 Nisan 2025 yılına kadar gerekli yamaları uygulamaları gerekmektedir.
Geliştirme, Akamai’nin bir sonraki.JS web çerçevesini (CVE – 2025-29927, CVSS puanı: 9.1) etkileyen yeni açıklanan bir güvenlik kusuru için potansiyel sunucuları araştıran ilk istismar girişimlerini gözlemlediğini söyledi.
Yetkilendirme Bypass güvenlik açığı, başarılı bir sömürü, bir saldırganın dahili istek akışlarını yönetmek için kullanılan “X-Middleware-Sebrequest” adlı bir başlığı taklit ederek ara katman yazılımı tabanlı güvenlik kontrollerini aşmasına izin verebilir. CheckMarx’tan Raphael Silva, bunun da hassas uygulama kaynaklarına yetkisiz erişim sağlayabileceğini söyledi.
Web Altyapı Şirketi, “Belirlenen yükler arasında dikkate değer bir teknik, X-Middleware-Regeest başlıkının SRC/Middleware: SRC/Midcehware: SRC/Middleware: SRC/Middleware değeri ile kullanılmasını içeriyor.” Dedi.
“Bu yaklaşım, tek bir istek içinde birden fazla dahili alt pençeyi simüle ederek Next.JS’nin dahili yönlendirme mantığını tetikler-halka açık birkaç kavram kanıtı sömürüsüne benziyor.”
Açıklamalar ayrıca Greynoise’den Draytek cihazlarındaki bilinen birkaç güvenlik açıklarına karşı kaydedilen aktif sömürü girişimleri hakkında bir uyarı izlemektedir.
Tehdit istihbarat firması, aşağıdaki CVE tanımlayıcılarına karşı wild içinde gözlemlendiğini gördüğünü söyledi-
- CVE-2020-8515 (CVSS Puanı: 9.8)-Bir işletim sistemi komutu enjeksiyon enjeksiyonu, birden fazla draytek yönlendirici modelinde, CGI-bin/mainfonction.cgi uri’ye kabuk metacharacters üzerinden uzaktan kod yürütülmesine izin verebilecek
- CVE-2021-20123 (CVSS Puanı: 7.5) – Draytek Vigorconnect’te, kimliği doğrulanmamış bir saldırganın altta yatan işletim sisteminden rastgele dosyaları indirmesine izin verebilecek yerel bir dosya içerme güvenlik açığı
- CVE-2021-20124 (CVSS Puanı: 7.5) – Draytek Vigorconnect’te, kimlik doğrulanmamış bir saldırganın temel işletim sisteminden WebServlet Uç Noktası aracılığıyla kök ayrıcalıkları ile keyfi dosyaları indirmesine izin verebilecek yerel bir dosya içerme güvenlik açığı
Endonezya, Hong Kong ve Amerika Birleşik Devletleri, CVE-2020-8515 için saldırı trafiğinin en iyi hedef ülkeleri olarak ortaya çıkarken, Litvanya, ABD ve Singapur, CVE-2021-20123 ve CVE-2021-20124’ten yararlanan saldırıların bir parçası olarak seçildi.