La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha agregado dos defectos de seguridad de seis años que afectan la plataforma Sitecore CMS y Experience (XP) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación –
- CVE-2019-9874 (Puntuación CVSS: 9.8): una vulnerabilidad de deserialización en el módulo Sitecore.security.anticsRF que permite a un atacante no autenticado ejecutar código arbitrario enviando un objeto .NET serializado en el parámetro HTTP post
- CVE-2019-9875 (Puntuación CVSS: 8.8) – Una vulnerabilidad de deserialización en el módulo de Sitecore.security.anticsrf que permite a un atacante autenticado ejecutar un código arbitrario enviando un objeto .NET serializado en el parámetro post
Actualmente no hay detalles sobre cómo los defectos se están armando en la naturaleza y por quién, aunque Sitecore, en una actualización compartida el 30 de marzo de 2020, dijo que se dio como «consciente de la explotación activa» de CVE-2019-9874. La compañía no menciona que CVE-2019-9875 se explota.
A la luz de la explotación activa, las agencias federales deben aplicar los parches necesarios antes del 16 de abril de 2025 para asegurar sus redes.
El desarrollo se produce cuando Akamai dijo que ha observado intentos de exploit iniciales de los servidores potenciales para una falla de seguridad recientemente revelada que impacta el siguiente marco web.JS (CVE -2025‑29927, puntaje CVSS: 9.1).
Una vulnerabilidad de autorización de autorización, una explotación exitosa podría permitir que un atacante sorte las verificaciones de seguridad basadas en el middleware al falsificar un encabezado llamado «X-Middleware-subrequest» que se utiliza para administrar los flujos de solicitudes internos. Esto, a su vez, podría permitir el acceso no autorizado a los recursos de aplicación sensibles, dijo Raphael Silva de Checkmarx.
«Entre las cargas útiles identificadas, una técnica notable implica usar el encabezado X-Middleware-Request con el valor SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware», dijo la compañía de infraestructura web.
«Este enfoque simula múltiples subrequests internas dentro de una sola solicitud, lo que desencadena la lógica de redireccionamiento interna de Next.JS, se asemeja mucho a varias exploits de prueba de concepto públicamente disponibles».
Las revelaciones también siguen una advertencia de Greynoise sobre los intentos de explotación activa registrados contra varias vulnerabilidades conocidas en los dispositivos Draytek.
La firma de inteligencia de amenazas dijo que ha visto una actividad en el bancarrojo observada contra los siguientes identificadores CVE-
- CVE-2020-8515 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de comando del sistema operativo en múltiples modelos de enrutador Draytek que podrían permitir la ejecución del código remoto como raíz a través de metacáculos de shell a la CGI-bin/mainfunction.cgi URI
- CVE-2021-20123 (Puntuación CVSS: 7.5) – Una vulnerabilidad local de inclusión de archivos en Draytek VigorConnect que podría permitir que un atacante no autenticado descargue archivos arbitrarios del sistema operativo subyacente con privilegios raíz a través del punto final de descarga de descarga de descarga
- CVE-2021-20124 (Puntuación CVSS: 7.5) – Una vulnerabilidad local de inclusión de archivos en Draytek VigorConnect que podría permitir que un atacante no autenticado descargue archivos arbitrarios del sistema operativo subyacente con privilegios raíz a través del punto final de WebServlet
Indonesia, Hong Kong y Estados Unidos se han convertido en los principales países de destino del tráfico de ataque para CVE-2020-8515, mientras que Lituania, Estados Unidos y Singapur han sido señalados como parte de los ataques que explotan CVE-2021-20123 y CVE-2021-20124.