Details des RCE-Fehlers im Adobe Experience Manager aufgedeckt

  • Die Details eines Bugs in Adobes Content-Management-Lösung, die auch von Mastercard, LinkedIn und PlayStation genutzt wird, wurden veröffentlicht.

    Am Montag wurden Details zu einem Zero-Day-Bug in Adobes Content-Management-Lösung Adobe Experience Manager (AEM) bekannt, von dem Kunden wie Mastercard, LinkedIn und PlayStation betroffen sind.

    Der im Mai gepatchte Fehler ermöglichte es Hackern, den Authentifizierungsschutz zu umgehen und Code aus der Ferne auf anfälligen AEM-Installationen auszuführen.

    Forscher der Ethical-Hacking-Community Detectify Crowdsource identifizierten den Fehler in der Komponente CRX Package Manager von Adobes AEM. AEM ist ein Tool der Enterprise-Klasse zur Erstellung und Verwaltung von Websites, mobilen Apps und Online-Foren.

    “Dieser Fehler ermöglicht es Angreifern, die Authentifizierung zu umgehen und Zugriff auf den CRX Package Manager zu erlangen”, schreiben die Forscher in einem am Montag veröffentlichten Blog-Post über die Sicherheitslücke. “Pakete ermöglichen das Importieren und Exportieren von Repository-Inhalten, und der Package Manager kann zum Konfigurieren, Erstellen, Herunterladen, Installieren und Löschen von Paketen auf lokalen AEM-Installationen verwendet werden.”

    Die Mitglieder von Detectify Crowdsource, die als Ai Ho und Bao Bui identifiziert wurden, entdeckten die Schwachstelle erstmals im Dezember 2020 in einer Instanz von AEM, die von der PlayStation-Tochter von Sony Interactive Entertainment verwendet wird. Drei Monate später wurde der AEM CRX-Bypass auch in mehreren von Mastercard genutzten Subdomains identifiziert. Sowohl Sony als auch Mastercard wurden zu diesem Zeitpunkt über die Fehler informiert.

    Erst nach einer Reihe von Tests und der Validierung des Fehlers durch Detectify wurde Adobe am 25. März über den Fehler informiert. Am 6. Mai veröffentlichte Adobe einen Patch für seine AEM-Plattform.

    Laut den Forschern können Angreifer, wenn die Schwachstelle nicht gepatcht wird, leicht auf den CRX-Paketmanager zugreifen, um ein bösartiges Paket im Kontext von Adobes AEM-Lösung hochzuladen und einen Angriff zur Ausführung von Remote-Code auszuführen, um “die vollständige Kontrolle über die Anwendung zu erlangen”, so die Forscher.

    Fehler Mechanik

    Nachdem der Patch zur Verfügung gestellt wurde, haben die Detectify-Forscher ein Testmodul veröffentlicht, mit dem Unternehmen feststellen können, ob ihre AEM-Implementierung von der Schwachstelle betroffen ist. Bislang hat das Tool etwa 30 Instanzen der AEM CRX Bypass-Schwachstelle in den Webanwendungen von Kunden identifiziert, so die Forscher.

    Die Schwachstelle tritt an Endpunkten des CRX-Pakets “/crx/packmgr/” wie “/crx/packmgr/groups.jsp” auf, erklärten die Forscher in dem Beitrag. Bedrohungsakteure können die Authentifizierung in Dispatcher, den Caching- und Load-Balancing-Tools von AEM, umgehen, um auf den CRX-Paketmanager zuzugreifen, so die Forscher.

    “Dispatcher prüft die Zugriffsrechte des Benutzers für eine Seite, bevor die gecachte Seite ausgeliefert wird, und ist ein wesentlicher Bestandteil der meisten – wenn nicht aller – AEM-Installationen”, schreiben die Forscher. “Er kann umgangen werden, indem viele Sonderzeichen in Kombination in die Anfrage eingefügt werden: %0a;.”

    Bisher konnte die Komponente, die für die Schwachstelle verantwortlich ist, mit einem einzigen Sonderzeichen ausgenutzt werden; der AEM CRX Bypass verwendet jedoch einen neuen Ansatz, indem er sie mit einer Reihe kombinierter Sonderzeichen ausnutzt, so die Forscher.

    Das Blockieren des öffentlichen Zugriffs auf die CRX-Konsole entschärfe die Schwachstelle, fügten sie hinzu.

    Adobe im Fadenkreuz der Hacker

    Neben Microsoft ist Adobe eines der Top-Ziele für Cyberkriminelle, weil seine Software so weit verbreitet ist. Neben der beliebten Adobe Acrobat-Familie zum Anzeigen, Erstellen und Verwalten von Dateien stellt das Unternehmen auch die Engine für zahlreiche Online-Anwendungen und Websites zur Verfügung. In einer kürzlich durchgeführten Studie, die den Markt für die beliebtesten Exploits, die in cyberkriminellen Foren verkauft werden, untersuchte, lag Adobe nach Microsoft an zweiter Stelle.

    Adobe reagiert auf Sicherheitslücken in seiner Software mit monatlichen Updates, die zeitgleich mit Microsofts monatlichen Patch Tuesday-Sicherheitsbulletins erscheinen. Im Februar hat das Unternehmen eine Schwachstelle im Adobe Reader gepatcht, die von Bedrohungsakteuren genutzt wurde, um Windows-Anwender in “begrenzten Angriffen” anzugreifen, hieß es damals. Windows-Anwender sind oft die Leidtragenden von Adobe-Sicherheitslücken.

    Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com