Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), tehdit aktörleri tarafından kritik SharePoint güvenlik açıklarının aktif olarak kullanılması konusunda acil bir uyarı yayınladı.
Ajans, kötü niyetli aktörlerin kuruluşlar arasında şirket içi SharePoint sunucularına yetkisiz erişim elde etmek için “araç kepçe” olarak adlandırılan bir güvenlik açığı zincirinden yararlandığı konusunda uyarıyor.
Aktif saldırı altında kritik güvenlik açığı zinciri
CISA, saldırganların aktif olarak iki kritik güvenlik açığından yararlandığını doğruladı: CVE-2025-49706, bir ağ sahtekarlığı ve CVE-2025-49704, bir uzaktan kod yürütme (RCE) kırılganlığı.
Bu tehlikeli kombinasyon, tehdit aktörlerinin hem kimlik doğrulanmamış sistem erişimini hem de ağ sahtekarlık teknikleri aracılığıyla kimlik doğrulamalı erişim elde etmelerini sağlar.
Güvenlik açığı zinciri, saldırganlara SharePoint ortamları üzerinde kapsamlı bir kontrol sağlar, bu da dosya sistemlerine, dahili yapılandırmalara erişmelerini ve ağlar arasında keyfi kod yürütmelerini sağlar.
Bu saldırıların kapsamı ve etkisi değerlendirilmeye devam etmektedir, ancak savunmasız SharePoint kurulumları yapan kuruluşlar için sonuçlar şiddetlidir.
Güvenlik araştırmacıları, araç köyü saldırı zincirinin, özellikle kamuya bakan SharePoint dağıtımları olan kurumsal ortamlar için önemli bir tehdit oluşturduğunu belirtti.
Microsoft yanıtı ve ek güvenlik açıkları
Microsoft, kuruluşların sistemlerini korumak için güvenlik güncellemelerini ve ayrıntılı rehberliği yayınlayarak tehdide hızlı bir şekilde yanıt verdi.
Şirket ayrıca potansiyel riskler oluşturan iki ek CVE belirledi: CVE-2025-49706 için bir yama baypası ve CVE-2025-49704 için bir yama bypass olan CVE-2025-49706 ve CVE-2025-53770 için bir yama baypası görevi gören CVE-2025-53771.
Bu bypass güvenlik açıkları şu anda aktif sömürü altında olmasa da, varlıkları tehdit manzarasının karmaşıklığını vurgulamaktadır.
CISA, örgütleri derhal harekete geçirmeye çağıran kapsamlı rehberlik yayınladı. Ajans, Microsoft’un güvenlik güncellemelerini derhal uygulamanızı ve SharePoint ortamlarında Antimalware Tarama Arayüzü’nü (AMSI) yapılandırmanızı önerir.
AMSI’yi etkinleştiremeyen kuruluşlar için CISA, kamuya açık SharePoint ürünlerinin internet erişiminden bağlantısı kesilmesini resmi hafifletmeler elde edilene kadar tavsiye eder.
Ek koruyucu önlemler, güvenlik güncellemeleri uygulanmadan önce ve sonra ASP.NET makine anahtarlarının döndürülmesi, belirli SharePoint uç noktalarına şüpheli yayın isteklerinin izlenmesi ve gelişmiş günlüğe kaydetme özelliklerinin uygulanmasını içerir.
Kuruluşlar ayrıca, 18-19 Temmuz 2025 arasında faaliyet gösteren 107.191.58.76, 104.238.159.149 ve 96.9.125.147 gibi saldırılarla ilişkili belirli IP adreslerini taramalıdır.
Güvenlik açıkları, 20 Temmuz 2025’te CVE-2025-53770 eklenerek CVE-2025-53770 ile CVE-2025-49706 ve CVE-2025-49704 ile 22 Temmuz 2025’te CVE-2025-53770 eklendi.
Göz güvenliği ve Palo Alto Networks Unit42 dahil güvenlik firmaları, saldırı tekniklerinin ayrıntılı analizlerini yayınladılar.
Kuruluşlar, ajans bu gelişen tehdit manzarasını izlemeye devam ettikçe, herhangi bir olay veya anormal faaliyetin CISA’nın 7/24 operasyon merkezine derhal bildirmeleri istenir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now