In der Sitecore Experience Platform (XP) wurde eine Reihe kritischer Sicherheitslücken identifiziert, die es Angreifern ermöglichen, diese miteinander zu verketten und in Unternehmensumgebungen Remote Code Execution (RCE) durchzuführen – vorausgesetzt, sie können sich mit einem Standardsystemkonto authentifizieren.
Sitecore XP, eine weit verbreitete Lösung für Enterprise Content Management und Digital Experience, weist die folgenden Schwachstellen auf:
-
Verwendung eines fest codierten Passworts in einem Standardbenutzerkonto
-
Post-authentifizierter RCE über Directory Traversal
-
Post-authentifizierter RCE durch uneingeschränkten Dateiupload in der Sitecore PowerShell-Erweiterung
Der Kern des Problems liegt in einem Standardbenutzerkonto ( sitecore\ServicesAPI), das mit Sitecore XP 10.1 und höher ausgeliefert wird. Dieses Konto verwendet ein trivial schwaches, fest codiertes einstelliges Passwort: „b“ . Obwohl dem Konto keine Rollen zugewiesen sind, kann es sich dennoch authentifizieren und ein gültiges Sitzungstoken erhalten, das Zugriff auf begrenzte, aber potenziell gefährliche interne APIs gewährt.
Dieser Zugriff kann dann ausgenutzt werden, um speziell gestaltete ZIP-Dateien auf den anfälligen Endpunkt hochzuladen /sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx. Aufgrund eines Path-Traversal-Fehlers kann ein Angreifer Dateien wie Web-Shells in das Webroot-Verzeichnis schreiben und so die Ausführung beliebigen Codes ermöglichen.
Ein zweiter RCE-Pfad existiert über das Sitecore PowerShell-Modul unter /sitecore%20modules/Shell/PowerShell/UploadFile/PowerShellUploadFile2.aspx, wo Datei-Upload-Beschränkungen nicht korrekt durchgesetzt werden. Dieselben Standardanmeldeinformationen können hier verwendet werden, um Code nach der Authentifizierung auszuführen.
Diese Sicherheitslücken betreffen ausschließlich Neuinstallationen mit den Standard-Sitecore-Installationsprogrammen ab Version 10.1. Systeme, die von früheren Versionen mit migrierten Datenbanken aktualisiert wurden, sind nicht betroffen – vorausgesetzt, die ursprünglichen Anmeldeinformationen wurden beibehalten.
Angesichts der Tatsache, dass schwerwiegende Sicherheitslücken in Sitecore XP in der Vergangenheit aktiv ausgenutzt wurden, wird Administratoren dringend Folgendes empfohlen:
-
Setzen Sie alle Standardanmeldeinformationen sofort zurück, insbesondere
sitecore\ServicesAPI -
Alle verfügbaren Sicherheitspatches anwenden
-
Überwachen Sie exponierte Sitecore-Endpunkte auf ungewöhnliche Aktivitäten
Die weit verbreitete Nutzung von Sitecore in kritischen Sektoren wie dem Finanzwesen, der Luftfahrt und der Unternehmens-IT macht dieses Problem besonders gravierend. Um groß angelegte Kompromittierungsszenarien zu verhindern, ist eine sofortige Behebung des Problems unerlässlich.
