Исследователи в области безопасности опубликовали предупреждение о цепочке эксплойтов для предварительной аутентификации, затрагивающих CMS, используемую некоторыми крупнейшими компаниями в мире.Платформа Sitecore Experience Platform — это система управления контентом (CMS), используемая United Airlines, Procter & Gamble, Microsoft, Fujitsu и другими компаниями. Сегодня команда watchTowr обнаружила три различные уязвимости, которые могут быть объединены для достижения полного контроля над системой.Всего существует семь уязвимостей, только три из которых были раскрыты сегодня, поскольку у клиентов было время применить исправления. Остальные четыре уязвимости еще не устранены, поэтому о них будет сообщено позднее.
WatchTowr начал изучать Sitecore в феврале, и на момент появления сообщений об уязвимостях они затрагивали последнюю доступную версию.
У ошибок пока нет идентификаторов CVE и нет оценок их серьезности, но, чтобы дать представление, одна из них – это проблема с жестко запрограммированными учетными данными, при которой внутренние пароли учетных записей состоят из одной буквы, а другая — это обход пути — одна из так называемыхтак называемые непростительные классы уязвимостей.Было обнаружено, что жестко заданный пароль для внутренних учетных записей был установлен на «b», который исследователи взломали за три секунды.
«К сожалению, это не шутка», — написала команда в блоге.
«b» относится к старой конфигурации по умолчанию для учетных записей администратора Sitecore, пароли для которых всегда были установлены как «b», хотя это уже не так.
«Реальность такова, что большинство пользователей, особенно предприятий, которые используя Sitecore, мы собираемся быть консервативными и не изменять учетные данные пользователей из-за боязни нарушить работу среды и CMS», — говорится в сообщении watchTowr.
Также отмечается, что сама Sitecore не рекомендует клиентам изменять учетные данные учетной записи пользователя по умолчанию.
«Sitecore предоставляет ряд учетных записей пользователей по умолчанию, которые вам не следует изменять… Изменение учетной записи пользователя по умолчанию может повлиять на другие области модели безопасности», — говорится в документации.Команда продолжила аутентификацию в качестве пользователя ServicesAPI и поработала с ошибками после аутентификации, включая обход пути, влияющий на механизм распаковки ZIP-файлов. Используя внутреннюю учетную запись пользователя, команда загрузила ZIP-архив, содержащий webshell, и обнаружила, что, немного изменив форму загрузки CMS, они могут добиться аутентифицированного удаленного выполнения кода (RCE) в непатченных версиях.
Исследователям удалось объединить эти две уязвимости для достижения RCE, хотя они сказали, что использовать вторую было не так просто, как они надеялись, поскольку учетной записи ServicesAPI не были назначены роли.Однако, по словам watchTowr, третья уязвимость более привлекательна для злоумышленников, поскольку ее «гораздо проще использовать», чем обходной путь механизма ZIP.Третья и последняя обнаруженная на сегодня ошибка — это ошибка неограниченной загрузки файлов, которая может быть использована пользователем ServicesAPI. Итак, ошибка 1 + ошибка 2 = RCE. Ошибка 1 + ошибка 3 = RCE.
Однако это работает только при установке внешнего расширения Sitecore PowerShell, и, хотя это является ограничивающим фактором, watchTowr заявил, что его установка необходима, если пользователи хотят использовать «чрезвычайно популярное» дополнение Sitecore Experience Accelerator (SXA).- включен, безымянный по соображениям безопасности.»Когда вы устанавливаете Sitecore, программа установки спрашивает вас, хотите ли вы установить SXA вместе с ним», — сказали исследователи. «Вы должны ожидать, что расширения PowerShell будут установлены во многих средах, но не во всех».
Как всегда, блог watchTowr подробно описывает ситуацию на низком уровне и в своем фирменном стиле каждые несколько абзацев добавляет саркастический мем для тех, кто хочет читать дольше и с иллюстрациями.В нем команда продемонстрировала, как именно можно использовать третью уязвимость с помощью тщательно разработанного HTTP-запроса после первого получения доступа к пользователю ServicesAPI.На момент проведения своего исследования WatchTowr сообщил, что было обнаружено более 22 000 экземпляров Sitecore.Сегодняшние новости появились после того, как исследователи и Sitecore договорились не раскрывать результаты до тех пор, пока у пользователей не будет достаточно времени для применения исправлений в версии 10.4, которые стали доступны 11 мая. ®
