top of page
blog_banner-1980x300.png

【watchTowr 威脅偵測】揭密 Sitecore 安全缺口 — 預設密碼+未驗證 RCE 的實務風險與防護要點

  • 作家相片: Estrella Wei
    Estrella Wei
  • 7月3日
  • 讀畢需時 5 分鐘

已更新:9月23日


作者:Piotr Bazydlo | 編譯:AIShield 編輯部 | 發稿日期:2025 年 7 月 1 日


預設帳號憑證竟設為單字母「b」,這類設計在資安業界極為罕見,通常被視為明顯的弱點,甚至可能被誤認為後門行為。資安研究團隊挖出三個關鍵漏洞,恐影響全球超過兩萬個 Sitecore 實例。

導語


在 2025 年 2 月,資安團隊 watchTowr 針對知名 CMS 系統 Sitecore Experience Platform 展開研究,意外揭露一條完整的 未經驗證遠端程式碼執行(Pre-Auth RCE)漏洞鏈。其中最令人震驚的,是內建帳號密碼竟設定為單一字母 「b」,讓人不禁懷疑是否形同蓄意留後門(Backdoor)。該漏洞鏈已回報給 Sitecore 並於 6 月 17 日全面揭露。



CMS 安全問題再現,watchTowr 鎖定 Sitecore


隨著 CMS 系統成為企業數位轉型的核心基礎設施,其所帶來的資安風險也日益受到關注。watchTowr 團隊繼年初揭露 Kentico CMS 的驗證弱點後,再次針對 Sitecore Experience Platform(XP)展開分析,並發現一條結合三個關鍵漏洞的完整攻擊鏈。


Sitecore 為全球企業級內容管理系統之一,在亞太地區也有不少大型企業與政府部門導入。與 WordPress 等開源 CMS 不同,Sitecore 主打高可擴充性與客製化能力,被廣泛部署於企業網站與數位體驗平台上。根據研究團隊使用指紋辨識工具掃描,全球至少有超過 22,000 個 Sitecore 實例對外開放,潛在影響範圍不容小覷。



三大漏洞曝光,Pre-Auth RCE 攻擊鏈成形


此次研究共揭露三項關鍵漏洞,並分別獲得 CVE 編號:


  • WT-2025-0024 / CVE-2025-34509:硬編碼 ServicesAPI 使用者帳號與密碼(預設密碼為「b」)

  • WT-2025-0032 / CVE-2025-34510:透過 ZIP 路徑穿越造成經驗證後 RCE

  • WT-2025-0025 / CVE-2025-34511(Bonus):PowerShell 擴充套件中的檔案上傳漏洞,允許任意檔案上傳與執行


其中最具爭議性的,莫過於 CVE-2025-34509 所揭示的「b 密碼」。watchTowr 指出,這組帳號在安裝 Sitecore 時就已預設存在,且密碼為單一字母,讓人聯想到過往後門帳號的慣例設計。該帳號(sitecore\ServicesAPI)雖未被賦予任何角色,但在特定情況下仍可藉此取得有效 Session Cookie,進一步觸發後續攻擊流程。



授權繞過與上傳漏洞串連,實現完整攻擊鏈


研究團隊證實,攻擊者可利用該帳號進行身份驗證,並藉由 Upload2.aspxPowerShellUploadFile2.aspx 這兩個 ASPX 端點,成功執行 ZIP Slip 攻擊或直接上傳 WebShell 至網站根目錄下。這使得攻擊者即便不具備管理員權限,仍能遠端執行任意程式碼,取得系統控制權。


其中 Upload2.aspx 的漏洞來自於處理上傳 ZIP 壓縮檔時未妥善過濾檔案路徑,導致可進行目錄穿越攻擊,例如攻擊者可能透過修改 ZIP 中的檔名,將惡意檔案上傳到網站根目錄或其他敏感目錄下,進而執行 WebShell 或存取設定檔案等。PowerShellUploadFile2.aspx 則允許攻擊者指定上傳路徑與檔名,且未限制檔案類型,屬於典型的未授權檔案上傳漏洞。


Is b for backdoor?
圖示說明:Sitecore Pre-Auth RCE 攻擊流程,圖片出自:AIShield

為幫助理解,以上圖解說明此次攻擊鏈的四個關鍵步驟:


  1. 攻擊者利用預設帳號 sitecore\ServicesAPI 密碼為「b」進行登入

  2. 登入成功後取得有效的 Session Cookie

  3. 利用 Upload2.aspx PowerShellUploadFile2.aspx 上傳 ZIP 檔或 WebShell

  4. 觸發 RCE,取得網站控制權



預設憑證源自安裝流程:Sitecore 安裝即內建弱密碼帳號


進一步分析後,watchTowr 發現這些帳號與密碼其實來自於 Sitecore 安裝程式中的資料庫初始化檔(.dacpac),而非用戶自行建立。根據測試,自 Sitecore 10.1 起的所有版本皆存在此弱點,意味著只要使用 10.1 以上版本安裝 Sitecore,即可能受到影響。


若用戶係由舊版升級至新版(如從 9.x 升級),則可能未受到影響。這也突顯了企業在部署時若未針對內建帳號進行稽核與密碼更改,便可能成為攻擊者鎖定的破口。



🔐 DevSecOps 的缺口,如何讓開發流程「被打爆」?


許多 DevOps 流程仍未落實基本的帳號稽核與部署安全措施,預設憑證、弱密碼、未隔離的部署權限等問題,正是「GET POPPED」的溫床。這張資安社群流傳的圖,諷刺地提醒我們:如果未將資安納入開發生命週期,風險將在尚未上線前就已悄然種下。



結語:當預設值成為企業級漏洞的開端


此次事件再次提醒資安圈一個老生常談的事實:弱密碼與預設帳號仍是 2025 年的重大資安漏洞來源。在企業導入 CMS 系統時,若缺乏基本的帳號清查與存取控制機制,攻擊者可能從低權限帳號逐步擴大存取權限,最終取得系統層級的控制權。


watchTowr 強調,該攻擊鏈已於 2025 年 2 月報告給 Sitecore,並經官方於 10.4.1 版中修補,建議使用者儘速更新並針對內部帳號安全性進行稽核。



🔍 資安名詞小辭典(本篇術語快速解釋)


Sitecore

一套基於 .NET 平台的企業級內容管理系統(CMS),支援模組化架構、多語系與個人化行銷功能,廣泛應用於企業官網、會員平台與數位體驗管理。


CMS(Content Management System)內容管理系統

網站內容的後台管理平台,方便非工程人員建立、編輯、管理網頁,常見產品包含 WordPress、Joomla、Sitecore、Kentico 等。


re-Auth RCE(Pre-Authentication Remote Code Execution)

未經驗證遠端程式碼執行漏洞。攻擊者在未登入情況下,即可遠端執行任意程式碼,風險極高,常被用於橫向滲透或植入後門。


ZIP Slip

一種目錄穿越(Path Traversal)攻擊技巧。攻擊者於 ZIP 壓縮檔中嵌入如 ../../ 的路徑,使系統在解壓縮時將檔案寫入非預期目錄(如網站根目錄),可能造成惡意程式上傳成功。


.dacpac(Data-tier Application Component)

Microsoft SQL Server 的資料庫封裝格式,用於部署預設資料表與內容,在某些安裝程式中可用來初始化系統帳號與設定。


Session Cookie(會話識別 Cookie)

用於追蹤使用者登入狀態的瀏覽器 Cookie。若被盜用,可能導致「會話劫持(Session Hijacking)」風險。


CVE 編號(Common Vulnerabilities and Exposures)

全球通用的資安漏洞識別編碼系統,每個公開漏洞會被分配唯一的 CVE 編號,以利追蹤與修補。




本文翻譯自 watchTowr 原文:“ Is b For Backdoor? Pre-Auth RCE Chain In Sitecore Experience Platform

發佈日期:2025年 6 月 17 日

原文和圖片出處:watchTowr 部落格文章


bottom of page