최근에 WatchTowr에 합류 했으므로 첫 번째 WatchWR Labs BlogPost의 시간입니다.

Kentico의 Xperience CMS는 유망한 것으로 눈에 띄고 몇 가지 주요 기준을 충족 시켰습니다. 이것은 우리가“흥미로운”것으로 정의하는 것의 기준을 충족시킵니다.

Recently joining the watchTowr Labs team, I wanted to maintain the trail of destruction left by the team and so had to get my teeth into things quickly. Two primary goals were clear:

최근 Watchtowr Labs 팀에 합류하여 팀이 남긴 파괴의 흔적을 유지하고 싶었으므로 치아를 빨리 데려 가야했습니다. 두 가지 주요 목표는 분명했습니다.

* Continue the legacy of high-quality research into interesting and impactful vulnerabilities.

* 흥미롭고 영향력있는 취약점에 대한 고품질 연구의 유산을 계속하십시오.

* Contribute to the broader security community with our findings.

* 우리의 조사 결과와 함께 광범위한 보안 커뮤니티에 기여합니다.

Kentico’s Xperience CMS stood out as promising, fulfilling several key criteria:

Kentico의 Xperience CMS는 유망한 것으로 눈에 띄고 몇 가지 주요 기준을 충족했습니다.

* It’s a widely used solution, powering a large portion of the web.

* 웹의 상당 부분에 전원을 공급하는 널리 사용되는 솔루션입니다.

* The Kentico security team has always been responsive and engaged in disclosing vulnerabilities.

* Kentico Security Team은 항상 대응적이고 취약성을 공개하는 데 참여해 왔습니다.

* It presented several interesting technical challenges that we enjoyed exploring.

* 우리가 탐구하는 몇 가지 흥미로운 기술적 과제를 제시했습니다.

This meets the criteria of something we’d define as “interesting,” so we began. A few hours later, (sigh), we stumbled into our first Authentication Bypass vulnerability. Throughout this research, we identified the following vulnerabilities:

이것은 우리가“흥미로운”것으로 정의 할 무언가의 기준을 충족 시켜서 시작했습니다. 몇 시간 후, (한숨), 우리는 첫 번째 인증 우회 취약성에 걸려 넘어졌습니다. 이 연구를 통해 우리는 다음과 같은 취약점을 확인했습니다.

* WT-2025-0006: Authentication Bypass in Kentico Xperience CMS Staging API

* WT-2025-0006 : Kentico Xperience CMS 준비 API의 인증 우회

* WT-2025-0007: Post-Auth Remote Code Execution in Kentico Xperience CMS Staging API

* WT-2025-0007 : Kentico Xperience CMS Staging API에서 Auth 원격 코드 실행

* WT-2025-0011: Another Authentication Bypass in Kentico Xperience CMS Staging API

* WT-2025-0011 : Kentico Xperience CMS 준비 API의 또 다른 인증 우회

As we walk through this analysis, we’ll take you on our journey that allowed us to build exploit chains to achieve Remote Code Execution against (at the time) fully patched Kentico Xperience CMS deployments.

우리 가이 분석을 진행하면서, 우리는 우리가 완전히 패치 된 Kentico Xperience CMS 배포에 대한 원격 코드 실행을 달성하기 위해 악용 체인을 구축 할 수있게 해주었다.

Time to dive in… (and until next time..)

다이빙 할 시간… (그리고 다음 번까지 ..)

Vulnerable Configuration

취약한 구성

취약한 구성

Before we even start deep diving into the vulnerabilities, we want to be clear that the vulnerabilities highlighted in this blogpost do not affect every Kentico CMS installation (but do appear to affect common configurations).

우리는 취약점에 대한 깊은 다이빙을 시작하기 전에이 블로그 포스트에서 강조된 취약점이 모든 Kentico CMS 설치에 영향을 미치지는 않지만 일반적인 구성에 영향을 미치는 것으로 보입니다).

For the vulnerabilities we’re about to discuss, two requirements need to be fulfilled:

논의하려고하는 취약점의 경우 두 가지 요구 사항을 충족해야합니다.

* The Staging Service must be enabled.

* 준비 서비스를 활성화해야합니다.

* The authentication type must be set to User name and password.

* 인증 유형은 사용자 이름과 비밀번호로 설정해야합니다.

However, based on our dataset and exposure across the watchTowr client base, we can confidently say that the above requirements appear to be a common configuration - please do not write these weaknesses off as requiring edge cases. Reassuringly, this seriousness and severity was reflected in the vendors response - the Kentico security team treated all vulnerabilities seriously, and we’ll discuss this further later.

그러나 데이터 세트와 WatchTowr 클라이언트 기반의 노출을 기반으로 위의 요구 사항이 일반적인 구성 인 것으로 보입니다. 이러한 약점을 가장자리 사례를 요구하는 것으로 쓰지 마십시오. 안심하게,이 심각성과 심각성은 공급 업체의 응답에 반영되었습니다. Kentico Security 팀은 모든 취약점을 심각하게 취급했으며 나중에 더 자세히 논의하겠습니다.

Our research, initially, was performed our initial research on Kentico Xperience 13.0.172. We also found a second Authentication Bypass, while reviewing Kentico Xperience 13.0.173. Although we never reviewed version 12 of Kentico Xperience (or below), we have high-confidence data that version 12 is also vulnerable to both WT-2025-0006 Authentication Bypass and WT-2025-0011 Authentication Bypass.

우리의 연구는 처음에 Kentico Xperience 13.0.172에 대한 초기 연구를 수행했습니다. 또한 Kentico Xperience 13.0.173을 검토하면서 두 번째 인증 우회를 찾았습니다. 우리는 Kentico Xperience (또는 아래)의 버전 12를 검토 한 적이 없지만 버전 12가 WT-2025-0006 인증 우회 및 WT-2025-0011 인증 우회 우회에 취약하다는 높은 정보 데이터를 가지고 있습니다.

To get your system into a vulnerable position while you follow this post along at home, a Kentico administrative user can enable the Staging Service within the CMS settings functionality, while selecting the User name and password authentication type, as presented in the next screenshot:

집 에서이 게시물을 따르는 동안 시스템 시스템을 취약한 위치로 가져 오려면 Kentico 관리 사용자는 다음 스크린 샷에 제시된대로 사용자 이름 및 비밀번호 인증 유형을 선택하면서 CMS 설정 기능 내에서 스테이징 서비스를 활성화 할 수 있습니다.

With this configuration complete, the next step is to investigate how this authentication is being performed. Let's dive into the technical details!

이 구성이 완료되면 다음 단계는이 인증이 어떻게 수행되는지 조사하는 것입니다. 기술적 인 세부 사항을 살펴 보겠습니다!

WT-2025-0006: Authentication Bypass

WT-2025-0006 : 인증 바이 패스

WT-2025-0006 : 인증 바이 패스

When we review new solutions, as we’ve described before a basic aim is to understand the exposed attack surface of the solution and quickly get a feel for how it has been architected. In case of web applications, you may want to look for some REST- or SOAP-based APIs. Interestingly, Kentico’s Experience CMS does not expose a significant number of webservices and endpoints, presenting a relatively small attack surface.

새로운 솔루션을 검토 할 때, 기본 목표 앞에 설명한 것처럼 솔루션의 노출 된 공격 표면을 이해하고 건축 방식에 대한 느낌을 빠르게 얻는 것입니다. 웹 애플리케이션의 경우 휴식 또는 비누 기반 API를 찾고 싶을 수도 있습니다. 흥미롭게도 Kentico의 경험 CMS는 상당한 수의 웹 서비스와 엔드 포인트를 노출시키지 않아 비교적 작은 공격 표면을 나타냅니다.

However, a service called CMS.Synchronization.WSE3.SyncServer immediately caught our attention. It exposes a single endpoint, and was interesting for two reasons:

그러나 cms.synchronization.wse3.syncserver라는 서비스가 즉시 우리의 관심을 끌었습니다. 단일 엔드 포인트를 노출시키고 두 가지 이유로 흥미로 웠습니다.

* It’s used for synchronization tasks between several Kentico instances.

* 여러 Kentico 인스턴스 간의 동기화 작업에 사용됩니다.

* It’s part of the internal Kentico API, not something that is designed to be used by third-party services or applications.

* 내부 Kentico API의 일부이며 타사 서비스 또는 응용 프로그램에서 사용하도록 설계된 것이 아닙니다.

Sounds like fun! Let's try to send a simple HTTP request targeting this web method and just see what happens through the power of FAFO:

재미있는 것 같네요! 이 웹 메소드를 대상으로 간단한 HTTP 요청을 보내고 FAFO의 힘을 통해 어떤 일이 발생하는지 보자.

We’re presented with the following error message:

다음 오류 메시지가 표시됩니다.

In the screenshot above presenting the definition of WebService, you may have noticed a mysterious Policy attribute. Its full class name is Microsoft.Web.Services3.PolicyAttribute, and it's implemented in Microsoft.Web.Services3.dll. We've never heard of this DLL before, and so found ourselves scratching our heads a little here.

위의 스크린 샷에서 웹 서비스의 정의를 제시하면 신비한 정책 속성을 발견했을 수 있습니다. 풀 클래스 이름은 Microsoft.Web.Services3.policyAttribute이며 Microsoft.web.services3.dll에서 구현되었습니다. 우리는 전에이 DLL에 대해 들어 본 적이 없어서 여기에서 머리를 조금 긁는 것을 발견했습니다.

A quick Google search revealed that this is part of obsolete (probably since 2012) Web Services Enhancement 3.0 for Microsoft .NET. This is likely superseded by .NET WCF, but it'

빠른 Google 검색에 따르면 이것은 Microsoft .NET의 경우 쓸모없는 (2012 년 이후) 웹 서비스 향상 3.0의 일부입니다. 이것은 .NET WCF에 의해 대체되었을 것입니다.