Güvenlik ekipleri, Google araştırmacıları Sitecore ürünlerinde yeni bir sıfır günlük güvenlik açığından yararlanan aktif saldırılar tespit ettikten sonra bir uyarı yayınladı.
CVE-2025-53690 olarak izlenen bu kusur, saldırganların ASP.NET’teki ViewState mekanizmasına müdahale ederek takılmamış sunucularda kod çalıştırmasına izin verir.
Popüler bir içerik yönetim sistemi olan Sitecore, 2017’de ve daha önce yayınlanan bir örnek makine anahtarı içeren yayınlandı.
Yöneticiler benzersiz bir anahtar oluşturmak yerine bu örnek anahtarını kullandıklarında, sunucularını bir ViewState firalizasyon saldırısına açık bıraktılar.
ViewState, sayfa verilerini gizli bir form alanında tutar. Bir saldırgan kötü niyetli bir ViewState yükü oluşturabilirse ve sunucu uygun doğrulama olmadan kabul ederse, keyfi kod yürütme yeteneği kazanırlar.
Güvenlik açığı ilk olarak bir olay yanıtı sırasında maniant tehdit savunması ile tespit edildi. Saldırganlar, /sitecore/blocked.aspx adresine özel olarak hazırlanmış posta talepleri göndererek bir ViewState doğrulama hatası günlüğü girişini tetikledi.
Maruz kalan örnek anahtarını kullanarak, Weepsteel adlı bir keşif kötü amaçlı yazılımı içerecek şekilde viewState verilerini şifresini çözdü ve değiştirdiler.
| Güvenlik Açığı Türü | CVE-ID | Etkilenen ürünler | Tanım |
| ViewState Sealizasyon Koşusu | CVE-2025-53690 | Sitecore XP 9.0, AD 1.4 ve önceki | Örnek anahtarlar kullanıldığında hazırlanmış ViewState yükleri aracılığıyla uzaktan kod yürütülmesine izin verir |
Bu kötü amaçlı yazılım, sistem ayrıntılarını toplar ve sahte bir ViewState yanıtına geri gönderir. Saldırganlar daha sonra kritik dosyaları arşivlemek için 7-ZIP kullandılar, solucan gibi aşamalı tünelleme araçları kullandılar ve kalıcı erişimi sürdürmek için Dwagient adlı bir uzaktan erişim yardımcı programı kurdular.
Sitecore, etkilenen sürümlerin Sitecore XP 9.0 ve Active Directory 1.4 veya daha önce örnek anahtarla konuşlandırıldığını doğruladı.
Güncellenmiş kurulum paketleri artık otomatik olarak benzersiz bir makine tuşu oluşturuyor. Yöneticiler, Sitecore’un SC2025-005 Danışmanlığı’na atıfta bulunmaları ve web.config dosyalarında depolanan makine anahtarlarını döndürmeleri istenir.
Tablo 1 bu güvenlik açığının ana detaylarını özetlemektedir:
Saldırı Zinciri Genel Bakış
- Bir ViewState Deserializasyon Sömürü ile ilk uzlaşma.
- İç keşif için Weepsteel’in konuşlandırılması.
- Web.config ve diğer dosyaların arşivlenmesi ve eklenmesi.
- Tünelleme Aracı (Solucan) ve Uzaktan Erişim Aracı (Dwagient) evrelemesi.
- Yerel yönetici hesaplarının oluşturulması ve SAM/Sistem kovanları aracılığıyla kimlik bilgisi boşaltma.
- Shepphound kullanarak diğer sunuculara ve Active Directory keşiflerine yanal hareket.
Önerilen azaltma
- Makine anahtarlarını döndürün ve sabitleyin; Örnek tuşları kullanmayın.
- ASP.NET ayarlarında ViewState Mac’i (Mesaj Kimlik Doğrulama Kodu) etkinleştir.
- Web.config’deki hassas değerleri şifreleyin.
- En son Sitecore güncellemelerini veya yamaları hemen uygulayın.
- Beklenmedik tünel bağlantıları ve olağandışı RDP oturumları için giden trafiği izleyin.
Sitecore ürünlerini çalıştıran kuruluşlar, 2017 Örnek Makine Anahtarının herhangi bir kullanımı için dağıtımlarını denetlemeli ve ViewState kurcalamayı gösteren etkinlikler için günlüklerini gözden geçirmelidir.
Hızlı yama ve anahtar rotasyonu bu kritik boşluğu kapatacak ve devam eden saldırılara karşı koruyacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.