Birkaç Sitecore ürününde kritik bir sıfır gün güvenlik açığı, saldırganların koddan uzaktan yürütülmesine izin verebilir.
CVE-2025-53690 olarak tanımlanan güvenlik açığı, bir ViewState sazizleme kusurundan kaynaklanmaktadır ve vahşi doğada aktif olarak sömürülmektedir.
Mantiant’ın soruşturması, saldırganların 2017 ve daha önceki Sitecore dağıtım kılavuzlarına dahil edilen açık ASP.NET makine anahtarlarından yararlandığını ortaya koydu.
Bu anahtarlar, kötü amaçlı aktörlerin doğrulama mekanizmalarını atlamasına ve sunuculara zararlı görünüm yükleri göndermesine izin vererek uzaktan kod yürütülmesine yol açar.
Sitecore, güvenlik açığını kabul etti, SC2025-005’i etiketledi ve eski dağıtım kılavuzlarından örnek makine anahtarını kullanan müşterileri etkilediğini doğruladı.
Şirket o zamandan beri benzersiz makine anahtarları oluşturmak için dağıtım süreçlerini otomatik olarak güncelledi ve etkilenen müşterileri bilgilendirdi.
Etkilenen ürünler ve saldırı detayları
Güvenlik açığı, Sitecore’un ana ürünlerinden birkaçını etkilemektedir:
- Deneyim Yöneticisi (XM)
- Deneyim Platformu (XP)
- Deneyim Ticaret (XC)
- Yönetilen bulut
XM Cloud, Content Hub ve OrderCloud gibi ürünler etkilenmez. Sitecore, müşterileri tam bir liste ve rehberlik için resmi danışmanlarına danışmaya çağırır.
Mantiant’ın hızlı tepkisi, tam yaşam döngüsü gözlemlenmeden önce saldırıyı bozdu, ancak soruşturmaları saldırganın yöntemleri hakkında önemli bilgiler verdi.
Saldırı, İnternet’e bakan bir Sitecore örneğinde ViewState Deserializasyon kırılganlığının sömürülmesi ile başladı. Saldırgan daha sonra iç keşif için Weepsteel olarak adlandırılan özel bir kötü amaçlı yazılım kullandı.
Bu kötü amaçlı yazılım, şifre çözülmüş bir ViewState yüküne gömülmüş, toplanmış sistem, ağ ve kullanıcı bilgileri daha sonra şifrelenmiş ve saptırılmıştır.
İlk uzlaşmanın ardından saldırgan, bir kamu dizininde yerlerini genişletmek için birkaç açık kaynaklı araç düzenledi. Bunlar dahil:
- SOLUCAN: Gizli bir komut ve kontrol kanalı oluşturmak için bir ağ tünelleme aracı.
- Dwaggent: Kalıcı erişim için bir uzaktan erişim aracı.
- Sharfound: Bir Active Directory Keşif Aracı.
Tehdit oyuncusu daha sonra yerel yönetici hesapları oluşturarak ayrıcalıklarını artırdı ve uzak masaüstü protokolünü (RDP) kullanarak ağ genelinde yanal hareketi kolaylaştırmak için SAM/sistem kovanlarından kimlik bilgilerini dökmeye çalıştı.
Varlıklarını korumak için, şifrenin son kullanma işlemini önlemek için bir hizmet olarak ve değiştirilmiş hesap ayarları olarak yüklediler.
Hafifletme
Mantiant, tüm Sitecore müşterilerinin ortamlarını gözden geçirmesini ve ASP.NET için en iyi güvenlik uygulamalarını uygulamalarını önerir.
Bu, makine anahtarının dönüşünü otomatikleştirmeyi, durum mesajı kimlik doğrulama kodunu (MAC) görüntüleyin ve düz metin sırlarını şifrelemeyi içerir.
Sitecore, resmi danışmanlığında (SC2025-005) ayrıntılı iyileştirme talimatları sağlamıştır.
Şirket, müşterileri ortamlarının güvenlik destekli sürümler çalıştırdığından ve mevcut tüm güvenlik düzeltmelerini gecikmeden uygulamaya teşvik etmektedir.
Bu güvenlik açığının keşfi, üretim ortamlarında varsayılan veya örnek konfigürasyonların kullanılması sürekli tehlikesini vurgular ve sürekli güvenlik izleme ve proaktif yama ihtiyacının altını çizer.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.