Attacchi a portali CMS Sitecore XP

Proto: N011121.

Con la presente CERT-Yoroi la informa riguardo al rilevamento di una emergente campagna di attacco rivolta ai danni di tecnologie Sitecore Experience Platform (Sitecore XP), content management system utilizzato per realizzazione di portali web ad alto traffico. La falla è nota con l’identificativo CVE-2021-42237. 

La problematica è causa dalla fallace deserializzazione di input utente nel modulo “Report.ashx”, il quale permette ad un attaccante di rete privo di autenticazione di eseguire codice arbitrario sul server bersaglio, compromettendone la sicurezza. 

Il Vendor ha confermato la problematica con il bollettino SC2021-003-499266, dove risultano afflitte le versioni: 

• Sitecore XP 7.5 Initial Release - Sitecore XP 7.5 Update-2 
• Sitecore XP 8.0 Initial Release - Sitecore XP 8.0 Update-7 
• Sitecore XP 8.1 Initial Release - Sitecore XP 8.1 Update-3 
• Sitecore XP 8.2 Initial Release - Sitecore XP 8.2 Update-7 

Per via della diffusione del portale CMS all’interno di orgnanizzazioni italiane di alto profilo, il recente rilascio di proof of concept e gli emergenti attacchi in aree APAC, CERT-Yoroi consiglia caldamente di installare le patch di sicurezza rese disponibili dal Vendor, e di valutare la cancellazione – o l’inibizione all’accesso - al file “/sitecore/shell/ClientBin/Reporting/Report.ashx” all’interno delle istanze server, qualora non utilizzato. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index