Uma perigosa cadeia de vulnerabilidades na popular plataforma de gestão de conteúdos (CMS) Sitecore Experience Platform (XP) permite que atacantes consigam executar código remotamente (RCE) e tomar controlo total de servidores, sem necessidade de qualquer tipo de autenticação. A falha, que afeta uma das ferramentas mais usadas por grandes empresas para gerir a sua presença digital, tem um ponto de partida surpreendentemente simples: uma palavra-passe pré-definida com um único caracter.
A descoberta foi feita pelos investigadores da watchTowr, que revelaram hoje os detalhes técnicos de um ataque em três fases capaz de comprometer milhares de sistemas a nível global.
A "chave" para o desastre: uma palavra-passe demasiado simples
O elo mais fraco e o ponto de entrada para os atacantes é um utilizador interno do sistema, sitecore\ServicesAPI, cuja palavra-passe vem definida de fábrica como "b". Apesar de este utilizador não ter privilégios de administrador nem funções atribuídas, os investigadores descobriram que era possível contornar as verificações de segurança e autenticar-se através de um caminho de login alternativo.
Esta autenticação bem-sucedida garante ao atacante uma sessão válida, abrindo a porta para explorar as vulnerabilidades seguintes e aceder a áreas internas do sistema que, de outra forma, estariam protegidas.
Do acesso à execução: como os atacantes tomam o controlo
Com o acesso inicial garantido, a segunda fase do ataque explora uma falha do tipo "Zip Slip" no assistente de upload do Sitecore. Um atacante pode enviar um ficheiro ZIP que contém um caminho malicioso (como /\/../webshell.aspx). Devido a uma validação insuficiente, o sistema acaba por extrair ficheiros para a diretoria principal do site. Isto permite que o invasor coloque uma webshell no servidor, uma ferramenta que lhe concede a capacidade de executar comandos remotamente.
Para piorar a situação, existe uma terceira vulnerabilidade que torna o processo ainda mais fácil. Se o módulo Sitecore PowerShell Extensions (SPE) estiver instalado — o que é comum, pois vem incluído com o popular pacote SXA — a falha permite o upload de ficheiros arbitrários para qualquer local, contornando todas as restrições e oferecendo um caminho direto para o controlo total do servidor.
Milhares de servidores em risco e a corrida para a atualização
As vulnerabilidades afetam as versões 10.1 a 10.4 do Sitecore XP. Segundo as análises da watchTowr, existem mais de 22.000 instâncias do Sitecore publicamente expostas na internet, o que representa uma superfície de ataque muito significativa, embora nem todas estejam necessariamente vulneráveis.
As correções para estes problemas foram disponibilizadas pela Sitecore em maio de 2025. No entanto, os detalhes técnicos só foram publicados a 17 de junho para dar tempo aos administradores de sistemas para aplicarem as atualizações necessárias.
"O Sitecore é usado em milhares de ambientes, incluindo bancos, companhias aéreas e multinacionais — pelo que o raio de explosão aqui é massivo", comentou Benjamin Harris, CEO da watchTowr, ao BleepingComputer. "E não, isto não é teórico: executámos a cadeia completa, de ponta a ponta. Se utiliza Sitecore, a situação não podia ser pior – altere as credenciais e instale a atualização imediatamente, antes que os atacantes consigam fazer engenharia inversa da correção."
Até ao momento, não há evidências de que esta falha esteja a ser explorada ativamente, mas com a publicação dos detalhes técnicos, o risco de ataques em larga escala é iminente.
Nenhum comentário
Seja o primeiro!