Si le système de gestion de contenu (CMS) avec fonctions d’analyse de données Sitecore Experience Platform (Sitecore XP) est utilisé dans les entreprises, les administrateurs doivent mettre le logiciel à jour. Sinon, les attaquants peuvent prendre le contrôle total du système.
Des entreprises de la liste Fortune 500, entre autres, font confiance à Sitecore XP dans le monde entier. Le CMS fonctionne comme un conteneur, par exemple. Le Centre australien de cybersécurité (ACSC) met en garde contre les attaques actuelles sur certaines versions dans un document. Ils qualifient la situation de « critique » a.
Sommaire
Exécution de code à distance
La base des attaques serait du code de preuve de concept, à partir duquel les attaquants utilisent maintenant des expoits pour la vulnérabilité (CVE-2021-42237).haut« ) dériver. Les attaques seraient possibles à distance et sans authentification. Dans un rapport, les chercheurs en sécurité d’Assetnote ont compilé les détails de cette vulnérabilité.
L’origine de la vulnérabilité se trouve dans une désérialisation non sécurisée dans le fichier Report.ashx. Ceci est nécessaire pour l’affichage du tableau de bord Executive Insight basé sur Silverlight de Microsoft. Selon un message d’avertissement des développeurs, les versions suivantes sont affectées par la vulnérabilité :
- Version initiale de Sitecore XP 7.5 – Sitecore XP 7.5 Update-2
- Version initiale de Sitecore XP 8.0 – Sitecore XP 8.0 Update-7
- Version initiale de Sitecore XP 8.1 – Sitecore XP 8.1 Update-3
- Version initiale de Sitecore XP 8.2 – Sitecore XP 8.2 Update-7
Sécurisation des systèmes
Sitecore déclare que tous les systèmes (mono-institution, multi-instances, environnements en nuage et serveurs Sitecore) sont vulnérables avec ces versions accessibles via Internet. Les versions jusqu’à et y compris Sitecore XP 7.2 Update-6 et Sitecore XP 9.0 et plus ne sont pas considérées comme vulnérables.
Pour sécuriser les systèmes, les administrateurs ayant Sitecore XP 7.5.0 à 7.5.2 doivent installer Sitecore XP 9.0.0. Alternativement, une mise à niveau de Sitecore XP 8.0.0 à 8.2.7 est également possible. Dans ce cas, cependant, les administrateurs doivent encore supprimer le fichier Report.ashx.