美国网络安全与基础设施安全局(CISA)已正式将两个严重的Sitecore CMS漏洞添加到其已知被利用漏洞(KEV)目录中,理由是有证据表明这些漏洞在现实中已被积极利用。
这两个漏洞分别是 CVE-2019-9874 和 CVE-2019-9875,它们均会影响Sitecore 的 Sitecore.Security.AntiCSRF 模块,可能使攻击者在存在漏洞的系统上执行任意代码。
严重漏洞详情及影响
CVE-2019-9874 的通用漏洞评分系统(CVSS)评分为 9.8,这意味着它存在严重的安全风险,因为它允许未经身份验证的攻击者利用反序列化漏洞来实现远程代码执行。
攻击手段主要是通过注入恶意构造的序列化.NET 对象来篡改__CSRFTOKEN HTTP POST 参数。
第二个漏洞 CVE-2019-9875(CVSS 评分为 8.8)影响的是同一个模块,但需要进行身份验证。尽管这增加了攻击的门槛,但攻击的简易性和潜在影响仍然不容小觑。
一旦攻击者成功登录,恶意行为者就可以利用相同的反序列化向量来控制服务器。
“反序列化漏洞出现在应用程序逻辑执行之前的阶段,这使得攻击者能够完全绕过安全控制措施。”
攻击者使用诸如ysoserial.net之类的工具,可以对有效载荷进行编码,从而执行 PowerShell 命令以建立远程控制会话或部署恶意软件,且不会触发典型的安全警报。
这些漏洞总结如下:
风险因素 CVE-2019-9874 CVE-2019-9875
受影响产品 Sitecore CMS 7.0–7.2 版本以及 XP 7.5–8.2 版本 Sitecore 9.1.0 及以下版本
影响 远程代码执行 远程代码执行
利用前提 无需身份验证的访问 需经过身份验证的访问
CVSS 3.1 评分 9.8(严重) 8.8(高危)
这些漏洞影响Sitecore 软件的多个版本:
1.CVE-2019-9874 影响Sitecore CMS 7.0–7.2 版本以及 XP 7.5–8.2 版本;
2.CVE-2019-9875 影响Sitecore 9.1.0 及以下版本。
美国网络安全与基础设施安全局(CISA)已要求所有联邦政府行政部门(FCEB)机构最迟在 2025 年 4 月 16 日之前应用可用的补丁。这些漏洞于 2025 年 3 月 26 日被添加到已知被利用漏洞(KEV)目录中,表明它们已处于被积极利用的状态。
缓解措施
Sitecore 在 2019 年最初发现这些漏洞后不久就发布了修复程序,但许多组织仍未进行修补。缓解方案包括:
1.对于 9.0 版本之前的软件,可以通过Sitecore 知识库文章 334035 获取热修复程序;
2.对于 9.0 及以上版本,升级到Sitecore 9.1 Update-1 版本即可解决该问题。
无法立即应用补丁的组织可以采取临时解决方法,比如拒绝所有Sitecore 实例对 \Website\sitecore\shell 文件夹的访问,或者实施基于 IP 的限制,仅允许访问受信任的地址。
美国网络安全与基础设施安全局(CISA)建议:“各组织应将已知被利用漏洞(KEV)目录作为其漏洞管理优先级框架的参考依据。”
这两个已存在六年之久的漏洞再次出现被利用的情况,凸显了安全威胁的持续性,即便对于那些先前已披露并修复的问题也是如此。
相关部门敦促安全专业人员立即检查其部署的Sitecore 系统,并采取适当措施来缓解这些正被积极利用的漏洞所带来的风险。
发表评论
您还未登录,请先登录。
登录