App e softwareTecnologia

CISA avverte delle falle di Sitecore RCE; gli exploit attivi colpiscono i dispositivi Next.js e DrayTek

Nuova minaccia individuata dalla CISA

Andrea Tasinato Commenta! 5

Le minacce informatiche non si fermano mai, la CISA (Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti) è sempre pronta ad informare il pubblico su potenziali scenari di minacce informatiche sul suo registro delle vulnerabilità note, il cosiddetto KEV.

Contenuti di questo articolo

L’Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti (CISA), infatti, ha aggiunto due vulnerabilità di sicurezza, vecchie di sei anni, che interessano Sitecore CMS e Experience Platform (XP) al suo catalogo di Vulnerabilità Sfruttate Conosciute (KEV), sulla base di prove di sfruttamento attivo.

Le nuove vulnerabilità segnalate dalla CISA

Le vulnerabilità elencate nel registro CISA sono le seguenti:

Leggi Altro

Moulinex XXL Dual Easy Fry EZ942B: doppia cottura, massimo gusto, minimo sforzo!
Troppi pannelli solari in Cina: rischio collasso per la rete elettrica
Estensioni Chrome popolari sotto accusa: dati inviati in chiaro e segreti esposti nel codice
Come le lattine di soda possono diventare carburante per il futuro
  • CVE-2019-9874 (punteggio CVSS: 9.8) – Una vulnerabilità di deserializzazione nel modulo Sitecore.Security.AntiCSRF che consente a un attaccante non autenticato di eseguire codice arbitrario inviando un oggetto .NET serializzato nel parametro HTTP POST __CSRFTOKEN.
  • CVE-2019-9875 (punteggio CVSS: 8.8) – Una vulnerabilità di deserializzazione nel modulo Sitecore.Security.AntiCSRF che consente a un attaccante autenticato di eseguire codice arbitrario inviando un oggetto .NET serializzato nel parametro HTTP POST __CSRFTOKEN.
Cisa avverte delle falle di sitecore rce; gli exploit attivi colpiscono i dispositivi next. Js e draytek

Attualmente secondo la CISA non ci sono dettagli su come queste falle vengano sfruttate attivamente né da chi, sebbene Sitecore abbia dichiarato in un aggiornamento del 30 marzo 2020 di essere a conoscenza dello sfruttamento attivo della CVE-2019-9874; la CISA non ha menzionato alcun caso di sfruttamento della CVE-2019-9875.

Alla luce dello sfruttamento attivo, le agenzie federali sono tenute ad applicare le patch necessarie entro il 16 aprile 2025 per proteggere le loro reti.

Oltre alla CISA, l’indagine dell’azienda Akamai

Questa situazione si verifica mentre Akamai ha osservato i primi tentativi di exploit che cercano di sondare server potenzialmente vulnerabili a una nuova falla di sicurezza nel framework web Next.js (CVE-2025-29927, punteggio CVSS: 9.1).

Si tratta di una vulnerabilità di aggiramento dell’autorizzazione che, se sfruttata con successo, potrebbe permettere a un attaccante di bypassare i controlli di sicurezza basati su middleware falsificando un’intestazione chiamata “x-middleware-subrequest”, utilizzata per gestire i flussi di richieste interne e questo potrebbe consentire l’accesso non autorizzato a risorse sensibili dell’applicazione, ha dichiarato Raphael Silva di Checkmarx.

Cisa avverte delle falle di sitecore rce; gli exploit attivi colpiscono i dispositivi next. Js e draytek

Tra i payload identificati, una tecnica notevole prevede l’uso dell’intestazione x-middleware-request con il valore src/middleware:src/middleware:src/middleware:src/middleware:src/middleware“, ha affermato Akamai, aggiungendo: “Questo approccio simula più sotto-richieste interne all’interno di una singola richiesta, attivando la logica di reindirizzamento interno di Next.js, in un modo molto simile a diversi exploit proof-of-concept disponibili pubblicamente.

Queste rivelazioni seguono anche un avviso di GreyNoise, che ha segnalato tentativi di sfruttamento attivo contro diverse vulnerabilità note nei dispositivi DrayTek.

Le altre vulnerabilità scoperte dagli esperti di sicurezza informatica

L’azienda di intelligence sulle minacce ha osservato attività malevole in natura contro i seguenti identificatori CVE:

  • CVE-2020-8515 (punteggio CVSS: 9.8) – Una vulnerabilità di iniezione di comandi nel sistema operativo che interessa diversi modelli di router DrayTek e potrebbe consentire l’esecuzione remota di codice con privilegi di root tramite metacaratteri della shell nell’URI cgi-bin/mainfunction.cgi.
  • CVE-2021-20123 (punteggio CVSS: 7.5) – Una vulnerabilità di inclusione di file locali in DrayTek VigorConnect, che potrebbe permettere a un attaccante non autenticato di scaricare file arbitrari dal sistema operativo sottostante con privilegi di root tramite l’endpoint DownloadFileServlet.
  • CVE-2021-20124 (punteggio CVSS: 7.5) – Una vulnerabilità di inclusione di file locali in DrayTek VigorConnect, che potrebbe consentire a un attaccante non autenticato di scaricare file arbitrari dal sistema operativo sottostante con privilegi di root tramite l’endpoint WebServlet.
Cisa avverte delle falle di sitecore rce; gli exploit attivi colpiscono i dispositivi next. Js e draytek

Indonesia, Hong Kong e Stati Uniti sono emersi come le principali destinazioni del traffico di attacco per la CVE-2020-8515, mentre Lituania, Stati Uniti e Singapore sono stati identificati tra i paesi bersaglio degli attacchi che sfruttano CVE-2021-20123 e CVE-2021-20124.

Sebbene l’Italia sembrerebbe fuori dagli attacchi di questa minaccia è sempre meglio prestare attenzione quando si naviga su internet.

Condividi questo articolo
lascia un commento