SK-CERT Bezpečnostné varovanie V20250904-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.0 |
| Identifikátor |
| Sitecore produkty – aktívne zneužívaná kritická bezpečnostná zraniteľnosť |
| Popis |
| Spoločnosť Sitecore vydala bezpečnostné aktualizácie na produkty Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) a Managed Cloud, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-53690 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej HTTP POST požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód a je v súčasnosti aktívne zneužívaná útočníkmi. Bezpečnostná zraniteľnosť zasahuje systémy, ktoré boli nasadené so vzorovými kľúčmi uvedenými v príručkách pre nasadenie do verzie XP 9.0 (vrátane) alebo všetky verzie XM, XP, XC nasadené v režime viacerých inštancií so statickými kľúčmi. Ovplyvňuje aj prostredia Managed Cloud Standard s kontajnermi, ak sú nasadené v režime viacerých inštancií. |
| Dátum prvého zverejnenia varovania |
| 3.9.2025 |
| CVE |
| CVE-2025-53690 |
| IOC |
| Účty: asp$ sawadmin h496883 Súbory: Information.dll (MD5: 117305c6c8222162d7246f842c4bb014, SHA-256: a566cceaf9a66332470a978a234a8a8e2bbdd4d6aa43c2c75c25a80b3b744307) lfe.ico, ufp.exe, ufp.ico (MD5: a39696e95a34a017be1435db7ff139d5, SHA-256: b3f83721f24f7ee5eb19f24747b7668ff96da7dfd9be947e6e24a688ecc0a52b) Helper.ico, helper.exe (MD5: f410d88429b93786b224e489c960bf5c) 1.vbs main.exe (MD5: be7e2c6a9a4654b51a16f8b10a2be175) GoToken.exe (MD5: 62483e732553c8ba051b792949f3c6d0) SharpHound (MD5: 63d22ae0568b760b5e3aabb915313e44, SHA-256: 61f897ed69646e0509f6802fb2d7c5e88c3e3b93c4ca86942e24d203aa878863) IP adresy: 130.33.156[.]194:443 130.33.156[.]194:8080 103.235.46[.]102:80 |
| Zasiahnuté systémy |
| Experience Manager (XM) Experience Platform (XP) Experience Commerce (XC) Managed Cloud Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať. Pre mitigáciu zraniteľnosti výrobca odporúča: – preskúmať prostredia, či nevykazujú podozrivé alebo anomálne správanie – rotovať prístupové kľúče v súbore web.config file – zabezpečiť šifrovanie prvkov <machineKey> v súbore web.config – prístup k súboru web.config povoliť iba administrátorom – zaviesť postup striedania systémových kľúčov Úplné pokyny sú dostupné na webovej adrese výrobcu: https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003835 Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. |
« Späť na zoznam
