Federal Sivil Yürütme Şubesi (FCEB) ajanslarına, vahşi doğada aktif sömürü altında olan bir güvenlik kusurunun keşfedilmesinin ardından 25 Eylül 2025’e kadar Sitecore örneklerini güncellemeleri tavsiye edilmektedir.
Güvenlik açığı, CVE-2025-53690kritik ciddiyeti gösteren maksimum 10.0 üzerinden 9.0 CVSS skoru taşır.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), “Sitecore Experience Manager (XM), Deneyim Platformu (XP), Deneyim Ticareti (XC) ve Yönetilen Bulut, varsayılan makine anahtarlarının kullanımını içeren güvenilmeyen veri kırılganlığının seansını içeriyor.” Dedi.
“Bu kusur, saldırganların uzak kod yürütülmesini sağlamak için maruz kalan ASP.NET makine anahtarlarından yararlanmasına izin veriyor.”
Aktif ViewState Sealization saldırısını keşfeden Google’a ait Maniant, etkinliğin 2017 ve daha önceki Sitecore dağıtım kılavuzlarında ortaya çıkan örnek bir makine anahtarından yararlandığını söyledi. Tehdit istihbarat ekibi etkinliği bilinen bir tehdit oyuncusu veya gruba bağlamadı.
Araştırmacılar Rommel Joven, Joseph Fleischer, Joseph Sciuto, Andi Slok ve Choon Kiat Ng, “Saldırganın tehlikeye atılan ürünü ve sömürülen güvenlik açığını derinlemesine anlaması, ilk sunucu uzlaşmasından ayrıcalık artışına kadar ilerlemelerinde belirgindi.” Dedi.
Kamu açıklanan ASP.NET makine anahtarlarının kötüye kullanılması ilk olarak Microsoft tarafından Şubat 2025’te belgelenmiştir ve teknoloji devi, Bilinmeyen Tehdit aktörlerinin Godzilla’nın yayma sonrası çerçevesini sunmak için anahtardan yararlandığı Aralık 2024’e kadar sınırlı sömürü faaliyeti gözlemlemiştir.
Daha sonra Mayıs 2025’te ConnectWise, küçük bir müşteri kümesini hedefleyen ViewState kodu enjeksiyon saldırıları yürütmek için vahşi doğada kullanıldığını söylediği ScreAnconnect’i (CVE-2025-3935, CVSS Puan: 8.1) etkileyen uygunsuz bir kimlik doğrulama kusurunu açıkladı.
Temmuz ayı kadar yakın zamanda, Gold Melody olarak bilinen ilk erişim brokeri (IAB), kuruluşlara yetkisiz erişim elde etmek ve bu erişimi diğer tehdit aktörlerine satmak için ASP.NET makine anahtarlarını sızdıran bir kampanyaya atfedildi.
Mantiant tarafından belgelenen saldırı zincirinde, CVE-2025-53690, internete bakan sitecore örneğinin ilk uzlaşmasını sağlamak için silahlandırılır ve keşif, uzaktan erişim ve Active Directory keşifini kolaylaştırmak için açık kaynak ve özel araçların bir kombinasyonunun konuşlandırılmasına yol açar.
Kamuya açık dağıtım kılavuzlarında belirtilen örnek makine anahtarı kullanılarak teslim edilen ViewState yükü, sistemi, ağ ve kullanıcı bilgilerini toplayabilen ve ayrıntıları saldırgana geri verebilen Weepsteel olarak adlandırılan bir .NET montajıdır. Kötü amaçlı yazılım, işlevlerinin bir kısmını ExchangeCmdpy.py adlı açık kaynaklı bir Python aracından ödünç alır.
Alınan erişimle, saldırganların bir dayanak kurdukları, kalıcılığı artırdığı, kalıcılığı sürdürdüğü, iç ağ keşfi yürüttüğü ve ağ boyunca yanal olarak hareket ettikleri ve sonuçta veri hırsızlığına yol açtığı bulunmuştur. Bu aşamalarda kullanılan bazı araçlar aşağıda listelenmiştir –
- Çorap kullanarak ağ tünelleme için solucan
- Hedef ağ içindeki etki alanı denetleyicilerini tanımlamak için kalıcı uzaktan erişim ve Active Directory keşif için dwagient
- Active Directory Keşif için Sharphound
- GotokentHeft Sistemde etkin olan benzersiz kullanıcı jetonlarını listelemek, kullanıcıların jetonlarını kullanarak komutları yürütmek ve tüm çalışan işlemleri ve bunlarla ilişkili kullanıcı belirteçlerini listelemek için
- Yanal hareket için uzak masaüstü protokolü (RDP)
Tehdit aktörleri ayrıca, yönetici kimlik bilgilerinin erişimi elde etmek ve RDP aracılığıyla yanal hareketi kolaylaştırmak için SAM/sistem kovanlarını dökmek için yerel yönetici hesapları (ASP $ ve Sawadmin) oluşturma gözlemlenmiştir.
Mantiant, “Yönetici hesapları tehlikeye girdiğinde, daha önce oluşturulan ASP $ ve Sawadmin hesapları kaldırıldı ve daha kararlı ve gizli erişim yöntemlerine geçiş işaret etti.”
Tehdörü önlemek için kuruluşların ASP.NET makine tuşlarını döndürmeleri, yapılandırmaları kilitlemeleri ve uzlaşma belirtileri için ortamlarını taramaları önerilir.
“CVE-2025-53690’ın sonucu, bir yerlerde girişimci bir tehdit oyuncusu, görünüşe göre maruz kalan sitecore örneklerine erişim sağlamak için ürün dokümanlarında herkese açık olarak açıklanan statik bir ASP.NET makine anahtarı kullanıyor,” dedi.
“Sıfır gün kırılganlığı hem güvensiz yapılandırmanın kendisinden (yani statik makine anahtarının kullanımı) hem de kamuya maruz kalmadan kaynaklanmaktadır-ve daha önce birçok kez gördüğümüz gibi, tehdit aktörleri kesinlikle belgeleri okurlar. Makine anahtarlarını hemen döndüren savunucular, makine anahtarlarını, sitecore kurulumlarının kamuya açık internete maruz kalmamasını sağlar.”
WatchTowr’daki Proaktif Tehdit İstihbaratı başkanı Ryan Dewhurst, sorunun Sitecore müşterilerinin örnek anahtarları, benzersiz, rastgele olanlar üretmek yerine resmi belgelerden kopyalamanın ve yapıştırmasının sonucu olduğunu söyledi.
Dewhurst, “Bu bilinen anahtarlarla çalışan herhangi bir dağıtım, ViewState Sealizasyon saldırılarına maruz kaldı, Düz Uzak Kod Yürütme Hakkı (RCE).”
“Sitecore, yeni dağıtımların artık otomatik olarak tuşlar ürettiğini ve etkilenen tüm müşterilerle temasa geçtiğini doğruladı. Patlama yarıçapı bilinmemektedir, ancak bu hata tipik olarak ciddi güvenlik açıklarını tanımlayan tüm özellikleri sergiliyor. Daha geniş etki henüz ortaya çıkmadı, ancak olacaktır.”