Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan keamanan berusia enam tahun yang berdampak pada CMS dan Platform Pengalaman Sitecore (XP) ke katalog kerentanan yang diketahui (KEV) yang diketahui, berdasarkan bukti eksploitasi aktif.
Kerentanan tercantum di bawah ini –
- CVE-2019-9874 (Skor CVSS: 9.8) – Kerentanan deserialisasi di Sitecore.security.anticsRF Modul yang memungkinkan penyerang yang tidak aautentikasi untuk mengeksekusi kode sewenang -wenang dengan mengirim objek .NET serial dalam parameter pos HTTP __csrftoken
- CVE-2019-9875 (Skor CVSS: 8.8) – Kerentanan deserialisasi di Sitecore.security.anticsRF Modul yang memungkinkan penyerang yang diautentikasi untuk mengeksekusi kode sewenang -wenang dengan mengirim objek .net serial dalam parameter pos http __csrftoken
Saat ini tidak ada rincian tentang bagaimana kelemahannya dipersenjatai di alam liar dan oleh siapa, meskipun Sitecore dalam pembaruan yang dibagikan pada 30 Maret 2020, mengatakan itu menjadi “sadar akan eksploitasi aktif” CVE-2019-9874. Perusahaan tidak menyebutkan CVE-2019-9875 yang dieksploitasi.
Mengingat eksploitasi aktif, lembaga federal diharuskan menerapkan tambalan yang diperlukan pada 16 April 2025, untuk mengamankan jaringan mereka.
Pengembangan datang seperti yang dikatakan Akamai telah mengamati upaya eksploitasi awal yang menyelidiki server potensial untuk cacat keamanan yang baru diungkapkan yang berdampak pada kerangka web berikutnya.js (CVE -2025-29927, skor CVSS: 9.1).
Kerentanan bypass otorisasi, eksploitasi yang sukses dapat memungkinkan penyerang untuk berkeliling pemeriksaan keamanan berbasis middleware dengan memalsukan header yang disebut “X-Middleware-Subrequest” yang digunakan untuk mengelola aliran permintaan internal. Ini, pada gilirannya, dapat memungkinkan akses yang tidak sah ke sumber daya aplikasi yang sensitif, kata Raphael Silva dari CheckMarx.
“Di antara muatan yang diidentifikasi, satu teknik penting melibatkan penggunaan header X-Middleware-Request dengan nilai SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware,” kata perusahaan infrastruktur web.
“Pendekatan ini mensimulasikan beberapa subrequest internal dalam satu permintaan, memicu logika pengalihan internal Next.js-sangat mirip dengan beberapa eksploitasi bukti konsep yang tersedia untuk umum.”
Pengungkapan juga mengikuti peringatan dari Greynoise tentang upaya eksploitasi aktif yang dicatat terhadap beberapa kerentanan yang diketahui di perangkat Draytek.
Perusahaan intelijen ancaman mengatakan telah melihat aktivitas yang diamati di bawah terhadap pengidentifikasi CVE di bawah ini-
- CVE-2020-8515 (Skor CVSS: 9.8)-Kerentanan injeksi perintah sistem operasi dalam beberapa model router draytek yang dapat memungkinkan eksekusi kode jarak jauh sebagai root melalui metacharacters shell ke cgi-bin/mainfunction.cgi URI
- CVE-2021-20123 (Skor CVSS: 7.5) – Kerentanan inklusi file lokal di Draytek VigorConnect yang dapat memungkinkan penyerang yang tidak aautentikasi untuk mengunduh file sewenang -wenang dari sistem operasi yang mendasar
- CVE-2021-20124 (Skor CVSS: 7.5) – Kerentanan inklusi file lokal di Draytek VigorConnect yang dapat memungkinkan penyerang yang tidak aautentikasi untuk mengunduh file sewenang -wenang dari sistem operasi yang mendasar
Indonesia, Hong Kong, dan Amerika Serikat telah muncul sebagai negara tujuan teratas dari lalu lintas serangan untuk CVE-2020-8515, sementara Lithuania, Amerika Serikat, dan Singapura telah dipilih sebagai bagian dari serangan yang mengeksploitasi CVE-2021-20123 dan CVE-2021-20124.
