В американском агентстве по безопасности киберинфраструктуры (CISA) выявили две давние уязвимости в продуктах Sitecore, которые теперь внесены в каталог известных эксплуатируемых уязвимостей (KEV). Первая из них, CVE-2019-9874, имеет оценку устойчивости 9.8 и относится к категории уязвимостей десериализации в модуле Sitecore.Security.AntiCSRF, что позволяет неаутентифицированному злоумышленнику выполнить произвольный код. Вторая уязвимость, CVE-2019-9875 с оценкой 8.8, аналогичным образом предоставляет возможность выполнения кода, однако требует аутентификации.
Сообщение от Sitecore от 30 марта 2020 года подтверждает активную эксплуатацию CVE-2019-9874, тогда как сведения об эксплуатации CVE-2019-9875 отсутствуют. Федеральным учреждениям предписано установить необходимые патчи до 16 апреля 2025 года, чтобы обеспечить защиту своих сетей и систем.
Akamai зафиксировала новую угрозу в популярном веб-фреймворке Next.js, связанной с уязвимостью CVE‑2025‑29927, оцененной в 9.1 по CVSS. Данная уязвимость позволяет обойти middleware-защиту за счёт подделки заголовка "x‑middleware‑subrequest" или "x‑middleware‑request", что нарушает внутренние алгоритмы обработки запросов. Checkmarx, в лице Рафаэля Силва, отметил, что один из известных способов эксплуатации включает использование заголовка с повторяющимся значением "src/middleware:src/middleware:src/middleware:src/middleware:src/middleware", что вызывает цепочку внутренних переадресаций.
Устройства DrayTek также оказались под прицелом злоумышленников. В уязвимости CVE-2020-8515 с оценкой 9.8 злоумышленники могут путем инъекции команд через cgi-bin/mainfunction.cgi получить доступ к root-пользователю на роутерах различных моделей. Эти атаки могут привести к полному выведению из строя защищенных систем.
Помимо этого, продукты DrayTek VigorConnect страдают от двух уязвимостей – CVE-2021-20123 и CVE-2021-20124, каждая из которых имеет оценку 7.5. При использовании данных уязвимостей злоумышленник получает возможность скачивать произвольные файлы с корневыми привилегиями через конечные точки DownloadFileServlet и WebServlet.
Анализ сетевого трафика показал, что атаки по CVE-2020-8515 в первую очередь нацелены на страны, такие как Индонезия, Гонконг и США, в то время как эксплуатирование уязвимостей CVE-2021-20123 и CVE-2021-20124 сконцентрировано в Литве, США и Сингапуре.
Методика эксплуатации уязвимостей Sitecore базируется на отправке сериализованного.NET-объекта через параметр HTTP POST __CSRFTOKEN, что позволяет добиться выполнения произвольного кода. Аналогичные принципы используются и в Next.js, где подделка соответствующих заголовков инициирует несколько внутренних запросов, обходя стандартные проверки безопасности.
Представленные случаи демонстрируют широкий спектр угроз, требующих оперативного обновления защитных механизмов и постоянного мониторинга критических информационных систем, чтобы предотвратить возможные инциденты и минимизировать риск компрометации данных.
Изображение носит иллюстративный характер
Сообщение от Sitecore от 30 марта 2020 года подтверждает активную эксплуатацию CVE-2019-9874, тогда как сведения об эксплуатации CVE-2019-9875 отсутствуют. Федеральным учреждениям предписано установить необходимые патчи до 16 апреля 2025 года, чтобы обеспечить защиту своих сетей и систем.
Akamai зафиксировала новую угрозу в популярном веб-фреймворке Next.js, связанной с уязвимостью CVE‑2025‑29927, оцененной в 9.1 по CVSS. Данная уязвимость позволяет обойти middleware-защиту за счёт подделки заголовка "x‑middleware‑subrequest" или "x‑middleware‑request", что нарушает внутренние алгоритмы обработки запросов. Checkmarx, в лице Рафаэля Силва, отметил, что один из известных способов эксплуатации включает использование заголовка с повторяющимся значением "src/middleware:src/middleware:src/middleware:src/middleware:src/middleware", что вызывает цепочку внутренних переадресаций.
Устройства DrayTek также оказались под прицелом злоумышленников. В уязвимости CVE-2020-8515 с оценкой 9.8 злоумышленники могут путем инъекции команд через cgi-bin/mainfunction.cgi получить доступ к root-пользователю на роутерах различных моделей. Эти атаки могут привести к полному выведению из строя защищенных систем.
Помимо этого, продукты DrayTek VigorConnect страдают от двух уязвимостей – CVE-2021-20123 и CVE-2021-20124, каждая из которых имеет оценку 7.5. При использовании данных уязвимостей злоумышленник получает возможность скачивать произвольные файлы с корневыми привилегиями через конечные точки DownloadFileServlet и WebServlet.
Анализ сетевого трафика показал, что атаки по CVE-2020-8515 в первую очередь нацелены на страны, такие как Индонезия, Гонконг и США, в то время как эксплуатирование уязвимостей CVE-2021-20123 и CVE-2021-20124 сконцентрировано в Литве, США и Сингапуре.
Методика эксплуатации уязвимостей Sitecore базируется на отправке сериализованного.NET-объекта через параметр HTTP POST __CSRFTOKEN, что позволяет добиться выполнения произвольного кода. Аналогичные принципы используются и в Next.js, где подделка соответствующих заголовков инициирует несколько внутренних запросов, обходя стандартные проверки безопасности.
Представленные случаи демонстрируют широкий спектр угроз, требующих оперативного обновления защитных механизмов и постоянного мониторинга критических информационных систем, чтобы предотвратить возможные инциденты и минимизировать риск компрометации данных.
