Kant's IT/Vulnerability
Sitecore, Next.js, DrayTek 취약점 KEV 등재 및 공격 동향 분석
Kant Jo
2025. 5. 8. 10:30
U.S. CISA adds Sitecore CMS and XP, and GitHub Action flaws to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Sitecore CMS and XP, and GitHub Action flaws to its Known Exploited Vulnerabilities catalog.
securityaffairs.com
CISA Warns of Sitecore RCE Flaws; Active Exploits Hit Next.js and DrayTek Devices
CISA Adds Sitecore CMS Code Execution Vulnerability to Exploited List
- Sitecore CMS 취약점(CVE-2019-9874, CVE-2019-9875)
- Sitecore.Security.AntiCSRF 모듈의 역직렬화 취약점
- CVE-2019-9874: Sitecore CMS 7.0 ~
7.2 및 XP 7.5 ~8.2 대상, 비인증 사용자의 원격 코드 실행 가능 - CVE-2019-9875: Sitecore 9.1 이하 대상, 인증 사용자 기반 원격 코드 실행 가능
- HTTP POST 요청 내 CSRFTOKEN 파라미터에 직렬화된 .NET 객체 삽입 방식
- Sitecore는 2020년 CVE-2019-9874의 악용 사실을 인정하였으며, 현재까지도 실제 악용이 발생 중
- Next.js 웹 프레임워크 취약점(CVE-2025-29927)
- CVSS 9.1, 권한 우회(Authorization Bypass) 취약점
- "x-middleware-subrequest" 헤더를 악용하여 내부 요청 흐름 우회
- 공격자는 보안 미들웨어 우회 후 민감 자원 접근 가능
- Akamai와 Checkmarx에 의해 악용 시도가 관측됨
- 다중 internal redirect를 유도하는 헤더값 반복 패턴 기반 공격이 PoC로 확인됨
- DrayTek 라우터 및 VigorConnect LFI/RCE 취약점
- CVE-2020-8515: cgi-bin/mainfunction.cgi URI를 통한 원격 명령 실행 취약점
- CVE-2021-20123, CVE-2021-20124: 비인증자의 파일 다운로드 가능한 LFI 취약점
- 공격 유입 주요 지역: 인도네시아, 미국, 홍콩, 리투아니아, 싱가포르 등
- GitHub Actions 공급망 공격(CVE-2025-30154)
- reviewdog/action-setup@v1에 삽입된 악성코드로 인한 자격 증명 유출
- tj-actions/changed-files 워크플로우까지 연계 감염
- PoC 및 탐지 불가 시 워크플로우 로그 기반 정보 유출 위험
- CISA KEV 대응 명령 및 기한
- Sitecore CMS 취약점 패치 마감: 2025년 4월 16일
- reviewdog GitHub Action 취약점 패치 마감: 2025년 4월 14일
- 연방기관(FCEB)은 BOD 22-01에 따라 기한 내 필수 조치 필요
- 보안 권고
- Sitecore 기반 웹서비스 보유 조직은 즉시 버전 확인 및 패치 수행
- CI/CD 환경에서 GitHub Actions를 사용하는 경우 reviewdog 관련 워크플로우 점검 및 비인가 커밋 확인
- Next.js 기반 웹앱은 미들웨어 설정 확인 및 의심 트래픽 모니터링 필요
- DrayTek 라우터 및 관리 시스템은 최신 펌웨어 업데이트와 접근 통제 필수
- 탐지 전략으로는 HTTP 요청의 특이 헤더 패턴, 직렬화된 CSRFTOKEN 파라미터, 비정상 명령어 포함 URI 요청 감시