.webp?w=696&resize=696,0&ssl=1 "CISA, Çinli hackerların aktif sömürüyle 0 günlük kusurları istismar ettiği konusunda uyarıyor")
CISA, şüpheli Çin tehdit aktörleri tarafından kritik Microsoft SharePoint güvenlik açıklarının aktif olarak kullanılması konusunda acil bir uyarı yayınladı.
“Toolshell” olarak adlandırılan saldırı kampanyası, CVE-2025-49706 (ağ sahtekarlığı) ve CVE-2025-49704 (uzaktan kod yürütme) içeren bir güvenlik açığı zincirinden yararlanır.
Sofistike saldırı, kötü niyetli aktörlerin hem kimlik doğrulanmamış sistem erişimini hem de ağ sahtekarlık teknikleri aracılığıyla kimlik doğrulamalı erişim elde etmelerini sağlar.
Key Takeaways
1. Chinese hackers exploiting SharePoint CVE-2025-49706 and CVE-2025-49704 for full system access.
2. Emergency patches released July 22, and two patch bypass vulnerabilities identified.
3. Apply patches immediately, configure AMSI, and disconnect end-of-life SharePoint systems.
Tahmin edildikten sonra, saldırganlar ağ altyapısında keyfi kod yürütürken, dosya sistemleri ve dahili yapılandırmalar da dahil olmak üzere SharePoint içeriğine tam olarak erişebilir.
Göz güvenliği ve Palo Alto Networks Unit42’den güvenlik araştırmacıları, kullanılan sömürü yöntemlerinin ayrıntılı analizini sağlamıştır.
Acil güvenlik güncellemeleri yayınlandı
Microsoft, 22 Temmuz 2025’te kapsamlı güvenlik rehberliği ve yamaları yayınlayarak aktif sömürüye hızlı bir şekilde yanıt verdi.
Şirket ayrıca iki ek yama baypas güvenlik açığı belirledi: CVE-2025-53771 ve CVE-2025-53770, bu da birincil güvenlik açıkları için ilk düzeltmeleri potansiyel olarak atlatabilir.
Kuruluşlara Microsoft’un güvenlik güncellemelerini derhal uygulamaları ve SharePoint ortamlarında Antimal Yazılım Tarama Arabirimi’ni (AMSI) yapılandırmaları şiddetle tavsiye edilir.
Kritik azaltma adımları, yamalar uygulanmadan önce ve sonra ASP.NET makine tuşlarının döndürülmesini, ardından tam koruma sağlamak için IIS web sunucularının yeniden başlatılmasını içerir.
| CVE | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-49706 | Ağ Sahtekarlığı Güvenlik Açığı | 6.5 | Orta |
| CVE-2025-49704 | Uzak Kod Yürütme (RCE) Güvenlik Açığı | 8.8 | Yüksek |
Cisa’nın Önerileri
CISA, kuruluşların izlemesi için özel uzlaşma göstergeleri sağlamıştır. Güvenlik ekipleri, birincil saldırı vektörü olarak tanımlanan uç nokta /_layouts/15/toolpane.aspx?displayMode=edit’e şüpheli yayın isteklerini izlemelidir.
Ayrıca, kuruluşlar üç belirli IP adresinden bağlantıları taramalıdır: 107.191.58[.]76, 104.238.159[.]149 ve 96.9.125[.]147, özellikle 18-19 Temmuz 2025 arasındaki faaliyete odaklanıyor.
Ajans, sömürü kalıplarını algılamak ve engellemek için kapsamlı günlüğe kaydetme yeteneklerinin uygulanmasını ve izinsiz giriş önleme sistemleri (IPS) ve Web Uygulama Güvenlik Duvarı (WAF) kurallarını güncellemenizi önerir.
Yaşam Sonu Sonu SharePoint sürümlerini işleten kuruluşlar, SharePoint Server 2013 gibi sürümler, bu sistemleri derhal İnternet’e dönük ağlardan ayırmalıdır.
Bu tehdidin kritik doğasını vurgulayarak CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna üç temel güvenlik açıkları da eklendi.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi