ISGroup Cybersicherheitsberatung

Anti-CSRF-Deserialisierungsschwachstelle in Sitecore (CVE-2019-9874)

Sitecore CMS enthält in den Versionen 7.0 bis 8.2 eine kritische Schwachstelle im Anti-CSRF-Schutzmodul (Cross-Site Request Forgery). Ein Angreifer kann den Wert von __CSRFTOKEN in einer HTTP-POST-Anfrage fälschen und eine schädliche Nutzlast (Payload) einfügen. Da der Server diesem Token vertraut und es unsicher verarbeitet, kann der Angreifer ohne jegliche Authentifizierung beliebigen Code auf dem Sitecore-Server ausführen. Mit anderen Worten: Durch die Manipulation eines Authentifizierungs-Tokens kann ein nicht authentifizierter Angreifer die vollständige Kontrolle über eine anfällige Sitecore-Instanz erlangen.

ProduktSitecore
Datum28.04.2025 10:42:58
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

  • Anfälliges Modul: Die Bibliothek Sitecore.Security.AntiCSRF von Sitecore ist darauf ausgelegt, ein CSRF-Token zu deserialisieren, um Anfragen zu verifizieren. Sie deserialisiert jedoch den Inhalt des Tokens, ohne dessen Herkunft oder Sicherheit zu validieren. Dies bedeutet, dass vom Angreifer kontrollierte Daten direkt in den Deserialisierer fließen.

  • Exploit-Vektor: Der Exploit nutzt den HTTP-POST-Parameter __CSRFTOKEN. Ein Angreifer kann ein bösartig serialisiertes .NET-Objekt erstellen und es als Wert für __CSRFTOKEN einfügen. Wenn der Anti-CSRF-Code von Sitecore dieses Objekt deserialisiert, wird jeder darin eingebettete Befehl oder Skript auf dem Server ausgeführt.

  • Keine Validierung ⇒ RCE: Da es keine angemessene Validierung oder Whitelist für den deserialisierten Inhalt gibt, wird jede Nutzlast akzeptiert. In der Praxis ermöglicht dies eine Remote Code Execution (RCE) auf dem Server. Der Code des Angreifers wird mit den Berechtigungen des Sitecore-Prozesses ausgeführt, was potenziell zur vollständigen Übernahme des Servers führen kann.

  • Nicht authentifizierter Angriff: Entscheidend ist, dass CVE-2019-9874 keinen Login erfordert. Alle Sitecore CMS-Instanzen der Versionen 7.0–7.2 und XP 7.5–8.2 (einschließlich 6.6.3 laut einigen Advisories) sind anfällig. Ein Angreifer kann die Nutzlast über das Internet an jede öffentlich zugängliche Sitecore-Website mit diesen Versionen senden und die Schwachstelle auslösen.

  • Proof-of-Concept: Forscher haben den Exploit unter Verwendung von Tools wie ysoserial.net demonstriert. Beispielsweise wird eine schädliche Nutzlast generiert (z. B. unter Verwendung des TypeConfuseDelegate-Gadgets zur Ausführung eines PowerShell-Befehls) und Base64-kodiert. Durch das Senden dieses Wertes in __CSRFTOKEN (z. B. über einen POST-Request an die Sitecore-Admin-Seite unter /sitecore/shell/Applications/Security/CreateNewUser.aspx) deserialisiert der Server die Nutzlast und führt sie aus. Bei Tests ermöglichte dies das Öffnen einer Shell oder die Ausführung beliebiger Befehle auf dem Zielsystem, was die RCE bestätigte.

Empfehlungen

  • Offizielle Patches anwenden: Installieren Sie umgehend die Sicherheitsupdates oder Hotfixes von Sitecore. (Für ältere Versionen hat Sitecore einen Hotfix für das Anti-CSRF-Modul veröffentlicht.)

  • Sitecore aktualisieren: Aktualisieren Sie alle Instanzen auf eine korrigierte Version. Sitecore XP 9.1.1 Update-1 oder höher enthält die Korrektur für dieses Problem. Das Halten von Sitecore auf der neuesten unterstützten Version gewährleistet die Behebung dieser und anderer Schwachstellen.

  • Administrative Endpunkte einschränken: Blockieren oder filtern Sie in der Zwischenzeit den Zugriff auf administrative Pfade von Sitecore (z. B. das Verzeichnis /sitecore/shell und zugehörige Anwendungen) über Firewalls für nicht vertrauenswürdige Netzwerke. Verweigern Sie beispielsweise externe Anfragen an /sitecore/shell, sodass nur interner oder authentifizierter Zugriff möglich ist.

  • Eingaben validieren und überwachen: Wenden Sie eine strikte Validierung auf alle Eingaben und Token in benutzerdefiniertem Code an. Überwachen Sie auch nach dem Anwenden der Patches die Sitecore-Logs und den Web-Traffic auf ungewöhnliche __CSRFTOKEN-Werte oder wiederholte POST-Anfragen an Sitecore-Admin-Seiten, da dies mögliche Indikatoren für einen Exploit sein können. Untersuchen Sie Deserialisierungsfehler oder Spuren von Befehlsausführungen umgehend.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *