Bilgisayar korsanları, backdroors’u dağıtmak için Sitecore sıfır gün kusurunu kullandı


Hacker

Tehdit aktörleri, Weepsteel keşif kötü amaçlı yazılımını dağıtmak için eski Sitecore dağıtımlarında sıfır günlük bir güvenlik açığından yararlanıyor.

CVE-2025-53690 altında izlenen kusur, 2017 öncesi Sitecore kılavuzlarına bir örnek ASP.NET makine anahtarının dahil edilmesinin neden olduğu bir ViewState sazizleme güvenlik açığıdır.

Bazı müşteriler, bu anahtarı üretimde yeniden kullandılar, saldırganların geçerli, ancak sunucuyu seansize etme ve yürütme konusunda kandıran ve uzaktan kod yürütülmesine (RCE) yol açan kötü niyetli ‘_viewstate’ yükleri sağladığı için saldırganlara izin verdi.

Kusur, ASP.net’in kendisinde bir hata değildir, ancak asla üretim için tasarlanmayan kamu belgelenmiş anahtarları yeniden kullanılarak oluşturulan yanlış yapılandırma güvenlik açığı.

Sömürü faaliyeti

Vahşi doğada kötü niyetli etkinliği keşfeden maniant araştırmacılar, tehdit aktörlerinin çok aşamalı saldırılarda kusurdan yararlandığını bildiriyor.

Saldırganlar ‘/Sitecore/Blok’ü hedefler. ASPX’in uç noktası, kimlik doğrulanmamış bir ViewState alanı içeren ve CVE-2025-53690’dan yararlanarak IIS Network Hizmet Hesabı kapsamında RCE elde edin.

Düştükleri kötü amaçlı yük yükü, sistem, işlem, disk ve ağ bilgilerini toplayan ve standart görünüm yanıtları olarak kapanmasını gizleyen bir keşif arka kapısıdır.

Weepsteel'in Bilgi Koleksiyonu
Weepsteel’in Bilgi Koleksiyonu
Kaynak: Maniant

Mantiant, Whoami, ana bilgisayar adı, görev listesi, ipconfig /all ve netstat -ano dahil olmak üzere uzlaşmış ortamlarda keşif komutlarının yürütülmesini gözlemledi.

Saldırının bir sonraki aşamasında, bilgisayar korsanları, çalınan verilerin arşivlerini oluşturmak için kullanılan solucan (bir ağ tüneli ve ters çorap proxy), dwagent (uzaktan erişim aracı) ve 7-zip kullandı.

Daha sonra, yerel yönetici hesapları (‘ASP $,’ ‘Sawadmin’), önbelleğe alınarak (Sam ve Sistem kovanları) kimlik bilgilerini boşaltmayı ve Gotokentheeft aracılığıyla şok taktiklemeye çalışarak ayrıcalıklarını artırdılar.

Kalıcılık, bu hesaplar için şifre son kullanma, onlara RDP erişimi sağlayarak ve DWAGENT’i bir sistem hizmeti olarak kaydedilerek güvence altına alındı.

Saldırı Yaşam Döngüsü
Saldırı Yaşam Döngüsü
Kaynak: Maniant

CVE-2025-53690 hafifletme

CVE-2025-53690 Etkileri Sitecore Experience Manager (XM), Deneyim Platformu (XP), Deneyim Ticareti (XC) ve Yönetilen Bulut, 2017 öncesi belgede yer alan ASP.NET makine tuşunu kullanılarak dağıtıldığında 9.0 sürümüne kadar.

XM Cloud, Content Hub, CDP, Kişiselleştir, Düzenli, Vekiye, Gönder, Keşfet, Arama ve Ticaret Sunucusu etkilenmez.

Sitecore, Mantiant’ın raporu ile koordineli olarak bir güvenlik bültenini yayınladı ve statik makine tuşlarıyla çok yüklemelerin de risk altında olduğunu söyledi.

Potansiyel olarak etkilenen yöneticiler için önerilen eylemler, tüm statikleri hemen değiştirecek Web.config’deki değerler yeni, benzersiz anahtarlarla ve Web.config içindeki öğe şifrelenir.

Genel olarak, devam eden bir güvenlik önlemi olarak düzenli statik makine anahtar rotasyonunun benimsenmesi önerilir.

ASP.NET makine anahtarlarının yetkisiz erişimden nasıl korunacağı hakkında daha fazla bilgi burada bulunabilir.

Picus Blue Report 2025

Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.

Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.



Source link