Sitecore XP の RCE 脆弱性の悪用:Silverlight への対応が原因

Sitecore XP RCE flaw patched last month now actively exploited

2021/11/08 BleepingComputer — Australian Cyber Security Center (ACSC) は、Sitecore Experience Platform (Sitecore XP) におけるリモートコード実行の脆弱性 CVE-2021-42237 が、Web 管理者に対して積極的に悪用されていると警告している。

Sitecore XP は、American Express/IKEA/Carnival Cruise Lines/L’Oréal/Volvo などの有名企業で採用されている、データ分析機能を備えたエンタープライズ・レベルの Content Management System (CMS) である。10月13日に、Sitecore Experience Platform に存在する、事前認証によるリモートコード実行の脆弱性 CVE-2021-42237 に対するパッチが公開されている。

その一方で、先週にはサイバー・セキュリティ企業の Assetnote が、この脆弱性を利用するハッカーがエクスプロイトを作成し、脆弱な Web サイトに対して積極的に悪用する可能性があるとする技術文書を公開した。

金曜日に ACSC が発表したアドバイザリでは、「Sitecore Experience Platform の特定バージョンのシステムにおいて、脆弱性が悪用されている。影響を受けているオーストラリアの組織は、利用可能なセキュリティ・アップデートを適用する必要がある」と警告している。

Sitecore XP の Report.ashx コンポーネントは、分析/エンゲージメント/SEO の成功などを高レベルで表示するものであり、このコンポーネントに存在する脆弱性が、今回の攻撃に使用されている。

Sitecore のセキュリティ・アドバイザリでは、「この問題は、Report.ashx の不完全なデシリアライゼーションに起因する、リモートコード実行の脆弱性に関連している。このファイルは、8.0 Initial Release で非推奨となった Executive Insight Dashboard を駆動するために使用されていた」と説明している。

この脆弱性により、リモートの攻撃者は認証を必要とせずに脆弱なサーバーを悪用し、そのサーバーを完全に制御できる。Microsoft が Silverlight を廃止したことで、この機能は Sitecore XP Ver 8.0 で廃止されたが、特定のプラットフォームのバージョンのみが、脆弱性の影響を受けることになっている。今回の RCE 脆弱性の影響を受ける Sitecore XP のバージョンは、以下の通りである。

  • Sitecore XP 7.5 Initial Release – Sitecore XP 7.5 Update-2
  • Sitecore XP 8.0 Initial Release – Sitecore XP 8.0 Update-7
  • Sitecore XP 8.1 Initial Release – Sitecore XP 8.1 Update-3
  • Sitecore XP 8.2 Initial Release – Sitecore XP 8.2 Update-7

    この脆弱性は、すべての Sitecore XP 8.x 以下に影響する。そこには、シングルインスタンス環境/マルチインスタンス環境/マネージドクラウド環境に加えて、インターネットに公開されている Sitecore サーバーロール (コンテンツ配信/コンテンツ編集/レポートなど) が含まれる。

    推奨される解決策は、安全なバージョンへと、理想的には Sitecore XP 9.0 以上へとアップグレードすることだ。また、すべてのサーバー・インスタンスの /sitecore /shell /ClientBin /Reporting /Report.ashx から Report.ashx ファイルを削除することで、この欠陥を軽減することができる。Sitecore XP の脆弱性 (CVE-2021-42237) への対策と、インストールされているバージョンへの影響については、Sitecore のセキュリティ情報を参照してほしい。

Microsoft は Silverlight を、2021年10 月12 日付でサポートを終了していました。Silverlight は、Web ブラウザ用のプラグインであり、HTML5 への移行により廃止されたとのことです。しかし、Sitecore 側の対応が不完全だったことで、このような状況に陥ったのだと推測されます。Silverlight 対応が原因となる脆弱性が、ここで止まると良いですね。

%d bloggers like this: