CISA KEV 警告 25/03/26:6年前に発見された Sitecore CMS/XP の脆弱性を登録

CISA Flags Two Six-Year-Old Sitecore Flaws Amid Active Exploitation Evidence

2025/03/27 TheHackerNews — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、活発に悪用されているという証拠に基づき、Sitecore CMS および Experience Platform (XP) に影響を与える2つのセキュリティ脆弱性を、KEV (Known Exploited Vulnerabilities) カタログに追加した。これらの脆弱性は、6年前に発見されたものである。

それぞれ脆弱性の詳細は、以下の通りである。

  • CVE-2019-9874 (CVSS:9.8):Sitecore CMS/XP の Sitecore.Security.AntiCSRF モジュールにおける、デシリアライゼーションの脆弱性。この脆弱性の悪用に成功した未認証の攻撃者は、HTTP POST パラメータ __CSRFTOKEN の中に、シリアライズされた .NET オブジェクトを送信することで、任意のコード実行の可能性を手にする。
  • CVE-2019-9875 (CVSS:8.8):CVE-2019-9874 と同じく、Sitecore CMS/XP の Sitecore.Security.AntiCSRF モジュールにおける、デシリアライゼーション脆弱性。この脆弱性の悪用に成功した認証済みの攻撃者は、HTTP POST パラメータ __CSRFTOKEN 内に、シリアライズされた .NET オブジェクトを送信することで、任意のコード実行の可能性を手にする。

現時点では、この脆弱性の悪用に関する詳細な情報は明かされていないが、SiteCore は、2020年3月30日に公開したアップデートで、CVE-2019-9874 の “積極的な悪用を認識している” と述べている。その一方で、CVE-2019-9875 の悪用については、言及していない。

こうした積極的な悪用を受けて、連邦機関に求められているのは、2025年4月16日までに必要なパッチを適用し、ネットワークを保護することである。

その他の脅威情報として、今回の KEV 登録の直前に、Web フレームワーク Next.js で発見された脆弱性 CVE-2025-29927 (CVSS:9.1) に対して、攻撃者が初期的な攻撃を試み、脆弱なサーバを探っている状況が観測されたと、Akamai が発表している。

この、認証バイパス脆弱性の悪用に成功した攻撃者は、内部リクエスト・フローの管理に使用される x‑middleware‑subrequest というヘッダーを偽装することで、ミドルウェア・ベースのセキュリティ・チェックを回避する可能性を手にする。それにより攻撃者は、機密性の高いアプリケーション・リソースへの不正アクセスを可能にする恐れがあると、Checkmarx の Raphael Silva は指摘する。

Akamai は、「特定されたペイロードのうち、特筆すべき攻撃手法のひとつは、x-middleware-request ヘッダーにsrc/middleware:src/middleware:src/middleware:src/middleware という値を使用するものである。この手法は、単一のリクエスト内で複数の内部サブリクエストがあるように見せかけ、Next.js の内部リダイレクト・ロジックをトリガーする。この手口は、すでに公開されている PoC エクスプロイトに極めて似ている」と述べている。

また、3月25日には、DrayTek 製デバイスに存在する複数の既知の脆弱性について、実環境での悪用の試行が確認されたとして、GreyNoise が警告を発表している。

GreyNoise が悪用を観測した脆弱性は、以下の通りである:

  • CVE-2020-8515 (CVSS:9.8):複数の DrayTek ルーター製品における、OS コマンド・インジェクションの脆弱性。この脆弱性の悪用に成功した攻撃者は、シェルメタ文字を使用して、cgi-bin/mainfunction.cgi URI に対して、ルート権限でのリモート・コード実行の可能性を得る。
  • CVE-2021-20123 (CVSS:7.5):DrayTek VigorConnect に存在する、LFI (Local File Inclusion) の脆弱性。この脆弱性の悪用に成功した未認証の攻撃者は、DownloadFileServlet エンドポイント経由することで、ルート権限で下位のオペレーティング・システムから、任意のファイル・ダウンロードを可能にするという。
  • CVE-2021-20124 (CVSS :7.5):DrayTek VigorConnect に存在する、LFI (Local File Inclusion) の脆弱性。この脆弱性の悪用に成功した未認証の攻撃者は、WebServlet エンドポイント経由することで、ルート権限で下位のオペレーティング・システムから、任意のファイル・ダウンロードを可能にするという。

DrayTek ルーターの脆弱性 CVE-2020-8515 を狙う、攻撃トラフィックの主な送信先は、インドネシア/香港/米国となっている。その一方で、CVE-2021-20123/CVE-2021-20124 を悪用する攻撃の主な標的は、リトアニア/米国/シンガポールだった。

Sitecore CMS/XP の、古い脆弱性が CISA KEV に登録されました。 つい先日の 2025/03/06 には、「Sitecore の脆弱性 CVE-2025-27218 が FIX:認証を必要としない RCE の恐れ」という記事をポストしていますので、よろしければ、CISA KEV ページと併せて、ご参照ください。