Mantian, bir tehdit oyuncusu sıfır günlük bir güvenlik açığından (CVE-2025-53690) ve internete bakan, birkaç Sitecore çözümünün şirket içi dağıtımlarını ihlal etmek için açık bir ASP.NET makine anahtarından yararlanıyor.
CVE-2025-53690 HAKKINDA
CVE-2025-53690, Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) ve yönetilen bulutun herhangi bir sürümünü etkileyen bir ViewState Seanyalizasyon kırılganlığıdır.
Konuşlandırılan örnekler, XP 9.0 veya daha önceki ve Active Directory 1.4 için dağıtım talimatları ile sağlanan bir örnek makine anahtarı kullanılarak dağıtıldılarsa, bu güvenlik açığından etkilenir.
Ayrıca, Sitecore’a göre “tüm sürümler için tüm sürümler için tüm sürümler için tüm sürümler için tüm sürümler için etkileyebilir ve Sitecore’a göre, çok yükümlü modda dağıtılırsa, kapsayıcılar ortamlarıyla yönetilen bulut standardını etkileyebilir”.
Kusurun başarılı bir şekilde kullanılması, saldırganların savunmasız internete dönük örneklerde uzaktan kod yürütülmesine izin verebilir ve görünüşe göre izin verebilir.
Benekli ViewState Deserializasyon Saldırısı
Mantiant’ın olay müdahale ekipleri çağrıldı ve sonuçlanmadan önce saldırıyı bozdu, bu nedenle tüm saldırı yaşam döngüsüne tam bir bakışları yok.
Bildikleri şey, tehdit oyuncusu ilk olarak kurbanın web sunucusunu çeşitli uç noktalara HTTP istekleri ile araştırdı ve sonuçta üzerinde yoğunlaştı. /sitecore/blocked.aspx Gizli bir görünüm formu kullanan sayfa.
Yanıtlayanlar, “View State’ler, web sayfalarının durumunu __ViewState adlı gizli bir HTML alanında saklayarak devam etmek üzere tasarlanmış bir ASP.NET özelliğidir” diye açıkladı.
“ViewState Deserializasyon Saldırıları, sunucunun ViewState mesajlarını, doğrulama mekanizmaları yok ya da atlatıldığında, viewState mesajlarını sermayeli hale getirme istekliliğinden yararlanıyor. Makine anahtarları (görünüm bütünlüğünü ve gizliliği koruyan) tehlikeye atıldığında, uygulama, yasal ve kötü niyetli görünüm yükleri arasında farklılaşma yeteneğini, sunucuya gönderilen yüklemeler arasında farklılaşma yeteneğini kaybediyor.
Doğru makine anahtarı ve halka açık bir araçla donatılmış saldırganlar, uzaktan kod yürütülmelerine izin veren kötü niyetli görünüm istekleri oluşturmayı başardılar.
İçeri girdikten sonra, onlara yardımcı olacak yazılım araçları ve kötü amaçlı yazılım yüklediler:
- __ViewState yanıtları aracılığıyla güvenliği ihlal edilen sistemden sistemi, ağ ve kullanıcı bilgilerini toplayın ve açıklayın
- Uygulamanın arka uçları ve bağımlılıkları hakkında hassas bilgiler içeren kritik kritik Sitecore yapılandırma dosyaları
- Güvenli ana bilgisayarda çalışan süreçleri, hizmetleri, aktif ağ bağlantılarını listeleyin, kullanıcı hesaplarını ve TCP/IP yapılandırmalarını keşfedin
- Gizli C2 İletişimi ve Arşiv Dosyaları oluşturmalarını sağlayacak ek araçlar indirin
- Yerel Yönetici Hesapları Oluşturun ve Etki Alanı Yönetici Hesaplarına Erişim Alın
- Dwageent açık kaynaklı uzaktan erişim aracını yükleyin ve uzak bir oturum oluşturun
- Tokenleri çalın ve kimlik bilgilerini tehlikeye atın
- Hedef ağ içindeki etki alanı denetleyicilerini tanımlayın ve kapsamlı Active Directory Keşifini gerçekleştirin
- Ağdaki diğer ana bilgisayarlara RDP’ye tehlikeye atılmış yönetici hesaplarını kullanın
Ne yapalım?
Mantiant’ın yanıtlayıcıları, “Saldırganın tehlikeye atılan ürün ve sömürülen güvenlik açığı hakkında derin anlayışı, ilk sunucu uzlaşmasından ayrıcalık artışına kadar ilerlemelerinde belirgindi” dedi.
Saldırganlar tarafından kullanılan Awsteel keşif aracının varlığını tespit etmek için uzlaşma göstergelerini ve bir Yara kuralı paylaştılar.
Savunmasız Sitecore çözümlerinden herhangi birini kullanan ve bunları internete maruz bırakan kuruluşlar, uzlaşma kanıtı aramalıdır.
Mantiant’a göre, Sitecore güncellenmiş dağıtımlarının otomatik olarak benzersiz bir makine anahtarı oluşturduğunu ve etkilenen müşterilerin bilgilendirildiğini doğruladı.
Sitecore ayrıca, potansiyel olarak etkilenen müşterilerin ne yapması gerektiği konusunda rehberlik sağlamıştır ve ASP.NET Machinekey’in yetkisiz erişimden nasıl korunacağı konusunda tavsiyeye işaret etmiştir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!