Mantiant, kritik kusurun Sitecore ürünlerini ortaya çıkardığını ortaya çıkarır
Prajeet Nair (@prajeaetspeaks) •
4 Eylül 2025
Saldırganlar, HSBC, L’Oréal, Toyota ve United Havayolları gibi şirketler için web sitelerini güçlendiren popüler bir içerik yönetim sisteminde şu anda yazılmış sıfır gün güvenlik açığından yararlandı.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
Sitecore Salı günü müşterilere, saldırganların sistemi kötü amaçlı yazılım yüklemeye zorlamak için bazı dağıtımlarda depolanan bir şifreleme anahtarı kullandığını söyledi. Anahtar, en az 2017’den beri yayınlanan halka açık Sitecore rehberliğinde belgelenmiştir ve sadece bir örnek olarak kullanılması amaçlanmıştır.
Sitecore, dinamik web sayfalarını oluşturmak için Microsoft tarafından geliştirilen ASP.NET Web Uygulama çerçevesini kullanır. Web’in başka türlü vatansız durumunun üstesinden gelmenin bir yolu olarak kullanıcılar ve web sayfaları arasındaki bağlantıları devam ettirmek için ViewState olarak bilinen temel bir ASP.NET işlevine dayanır. ASP.NET, oturum çerezlerinde iletilen verileri korumak için şifreleme kullanır.
Google Mantiant’tan araştırmacılar, tanımlanamayan müşterilerin sitecore sistemini gömülü bir .NET Montaj Keşif Aracı Sessialize etmeye zorlamak için örnek anahtarını kullanan saldırganları tespit ettiler. Saldırganlar, örnek tuşuna ekli kötü amaçlı bir yük gönderdi – araştırmacıların bir kopyası ASP.NET yapılandırma dosyasında bulunabileceğini söylediler web.config – Sitecore dağıtımlarına gömülü web’de maruz kalan bir bileşene. Saldırganlar, örnek anahtarını kabul etmek ve kötü amaçlı kodu sunucu belleğine açmak için ViewState işlevine güvenirler. Maruz kalan web işlevi, erişmek için kimlik doğrulama gerektirmedi.
Mantian araştırmacıları, “Makine anahtarları (ViewState bütünlüğünü ve gizliliği koruyan) tehlikeye atıldığında, uygulama sunucuya gönderilen meşru ve kötü niyetli görünüm yükleri arasında ayrım yapma yeteneğini etkili bir şekilde kaybeder.”
Güvenlik açığı CVE-2025-53690 olarak izlenir.
Saldırganlar, toplanan sistem, kullanıcı ve ağ detayları için Weepsteel’i kullandılar ve iyi huylu ViewState yanıtları olarak gizlenen ayrıntıları açıkladılar.
Keşiften sonra saldırganlar, muhtemelen gibi hassas dosyalar içermek amacıyla kritik uygulama dosyalarını arşivledi. web.configkimlik doğrulama ve yetkilendirme ayarları gibi öğeler içerir. Araçları bir tünel oluşturma hizmeti olan Solucan gibi bir kamu dizininde düzenlediler; Dwagient, uzaktan erişim aracı; ve bir Active Directory keşif aracı olan Sharphound. Yeni oluşturulan yerel yönetici hesapları aracılığıyla ayrıcalıkları artırarak, tehdit aktörleri Güvenlik Hesap Yöneticisi veritabanı dosyalarını önbelleğe alınmış kimlik bilgilerini hasat etmek için attı.
Saldırganlar GotokentHeft olarak bilinen bir jeton çalma aracı yürüttü. Şifre son kullanma politikalarını devre dışı bırakarak, uzak erişim aracılarını kurarak ve gizli tüneller aracılığıyla trafiği yönlendirerek kalıcılığı sürdürdüler. Nihayetinde, yönetici kimlik bilgileri tehlikeye atıldıktan sonra geçici hesapları kaldırdılar ve daha gizli erişim yöntemlerine doğru kaydırdılar.
Mantiant ve Sitecore, müşterilerin makine anahtarlarını döndürmesini, ViewState mesajı kimlik doğrulama kodu doğrulamasını etkinleştirmesini ve yapılandırma dosyalarındaki düz metin sırlarını şifrelemesini önerir. Kuruluşlar ayrıca şüpheli hesap oluşturma, RDP etkinliği ve solucan veya dwagient ile ilişkili tünel trafiğini izlemelidir.