Sitecore deneyim platformunda (CVE-2025-27218) yeni açıklanan kritik bir güvenlik açığı, kimlik doğrulanmamış saldırganların, satılmamış sistemlerde keyfi kod yürütmesine izin verir.
Güvensiz firalizasyon uygulamalarına dayanan kusur, Sitecore Experience Manager (XM) ve Experience Platform (XP) sürümlerini KB1002844 yamasından önce 8.2 ila 10.4’ü etkiler.
Güvenlik firması AssetNote, Sitecore’un kullanımdan kaldırılan Binarformatter sınıfını kötüye kullandığını ve kimlik doğrulama kontrollerini atlamak ve kötü amaçlı yükler dağıtmak için güçlendirmeyi keşfetti.
Kritik Sitecore 0 günlük güvenlik açığı
Güvenlik açığı, Convert.Base64ToBect BinaryFormatter çevresinde özel bir sargı kullanılarak küçük resimler kullanılarak küçük resimler kullanarak güvensiz verileri sazelleştiren MachineKeytokenservice.istokenvalid yönteminde bulunur.
Kritik olarak, seansizasyon şifre çözmeden önce gerçekleşir ve saldırganların doğrudan işleme boru hattına hazırlanmış yükleri enjekte etmesini sağlar.
Saldırganlar, işletim sistemi komutlarını yürütmek için WindowsIdentity Gadget zincirini hedefleyerek ysoserial.net gibi araçları kullanarak kötü amaçlı bir serileştirilmiş nesne üreterek bunu kullanırlar. Örneğin, aşağıdaki yük, kod yürütmeyi onaylayan bir dosya oluşturur:
Ortaya çıkan Base64 kodlu yük, ThumbnailSaccessToken üstbilgisine eklenir.
Sitecore’un AuthenticateThumbnailsRequest HTTP İşlemci HTTPRequestBegin Boru Hattı’nın bir kısmı, kimlik doğrulama kontrolleri olmadan bu başlığı ayrıştırarak derhal sazip ve yük aktivasyonuna yol açar.
Sitecore, küresel olarak 12.000’den fazla kurumsal dijital platforma güç vererek, bu güvenlik açığı sistemik riskler oluşturmaktadır:
- Auth Pre-auth RCE: Sömürü, kitle taraması ve saldırı otomasyonu sağlayan kimlik bilgileri gerektirmez.
- Tam Sunucu Uzlaşması: Başarılı saldırılar IIS Apppool \ Sitecore ayrıcalıklarını verir, yanal hareket ve veri açığa çıkmasına izin verir.
- İşletme Bozukluğu: Kötü niyetli aktörler web sitelerini tahrif edebilir, kötü amaçlı yazılım enjekte edebilir veya CMS işlemlerini sakatlayabilir.
AssetNote’un analizi, BinaryFormatter’ın kusurlu uygulanmasının – bir .NET sınıfı Microsoft’un önlenebilir bir saldırı yüzeyini kullanmaya karşı açıkça nasıl uyardığını vurgular.
Sitecore’un bayt dizilerini bu mekanizma yoluyla serileştirme girişimi, yanlış şifre çözme aşamalarıyla birleştirilen gereksiz risk getirmiştir.
Hafifletme
Sitecore, CVE-2025-27218’i ele almak için bir yama yayınladı ve müşterileri şunlara çağırıyor:
- Hemen Sitecore 10.4’e yükseltin veya güvenlik sıcaklığını uygulayın.
- Yetkisiz BinaryFormatter kullanımı için HTTP boru hatlarını doğrulayın.
- Anormal küçük resimler için monitör.
Hemen yama yapamayan kuruluşlar için Microsoft, serileştirme bağlayıcı kısıtlamalarının uygulanmasını veya tamamen çalışma zamanı yapılandırması yoluyla BinaryFormatter’ı devre dışı bırakmayı önerir.
Bu olay, güvenli seansizasyon uygulamalarında kalıcı zorlukların altını çizmektedir. En az 2017’den bu yana, ikili format riskleri konusunda yaygın farkındalığa rağmen, kurumsal yazılımlarda kullanılması, güvenlik açığı araştırması ve geliştirici eğitimi arasındaki boşluğu göstermektedir.
6 Mart 2025 itibariyle, Wild Insours teyit edilmemiştir, ancak açılmamış sistemler eleştirel olarak maruz kalmaktadır. Sitecore kullanan kuruluşlar, büyük ölçekli ihlalleri önlemek için iyileştirmeye öncelik vermelidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free