Sitecore’da aktif olarak kullanılmaktadır. Eski, güvensiz anahtarlardan kaynaklanan bu kusur, bilgisayar korsanlarının ViewState Deserializasyon saldırıları yoluyla uzaktan kod yürütme (RCE) elde etmelerini sağlar.
Bilgileriniz için bu istismar, ASP.NET’in bir parçası olan ViewState adlı bir özelliğe bağlıdır ve bir web sitesinin bir kullanıcının eylemlerini hatırlamasına yardımcı olur. Saldırganlar, bu özellikte ViewState Deserializasyon saldırısı olarak bilinen ciddi bir güvenlik açığından yararlanıyor. Bu, normalde ViewState mesajlarına güvenen sunucu, kötü niyetli kodu kabul etmek için kandırıldığında gerçekleşir, çünkü onu koruyan güvenlik anahtarları kamuoyu tarafından bilinir.
Bildirildiğine göre, bilgisayar korsanları, 2017’ye kadar yayınlanan Sitecore’un kendi dağıtım kılavuzlarından bir anahtardan yararlanmaktadır. Bu halka açık anahtarı kullanarak, saldırganlar sistemi sunucuda kendi kodlarını çalıştırmalarına izin veren kötü amaçlı komutları kabul edebilirler, bu da uzak kod yürütme (RCE) olarak bilinen bir yöntem.
Basit probtan tam kontrole kadar
Mantiant tarafından gözlemlendiği gibi saldırı, ayrıntılı çok aşamalı bir süreci izler. Hacker’ların gizli bir ViewState formu kullanan belirli bir Sitecore sayfasına odaklanmadan önce web sunucularını araştırmasıyla başlar. Bir dayanak kazandıktan sonra, sistem hakkında kritik bilgiler toplamak için hızlı bir şekilde bir keşif aracı olan Weepsteel kötü amaçlı yazılımları kullanırlar.
Başlangıç erişiminin güvencesiyle, saldırganlar hassas yapılandırma dosyalarını çalmak için harekete geçti ve daha sonra kontrollerini genişletmek için bir dizi açık kaynaklı araç kullandı. Bu, gizli tüneller yaratmak için solucan, uzaktan erişim için dwagient ve ağı haritalamak için Shipphound’u içeriyordu. Daha sonra, kullanıcı kimlik bilgilerini çalmak için yeni yerel yönetici hesapları oluşturdular ve kullandılar ve ağın derinliklerine doğru hareket etmelerini sağladılar. Bu, saldırganların sofistike ve metodik yaklaşımını vurgular.
Uyarı
Keşif hakkındaki acil bir yorumda, Watchtowr’daki proaktif tehdit istihbaratı başkanı Ryan Dewhurst, güvenlik açığının nedeninin Sitecore kullanıcıları tarafından basit bir hata olduğuna dikkat çekti. “Sorun, Sitecore kullanıcılarının benzersiz, rastgele olanlar oluşturmak yerine örnek anahtarları resmi belgelerden kopyalayıp yapıştırmalarından kaynaklanıyor” dedi.
Bir Sitecore olan Sitecore’un dijital bir deneyim ve içerik yönetim platformu olduğunu, yeni dağıtımların artık otomatik olarak benzersiz anahtarlar üreteceğini ve etkilenen tüm müşterilerle iletişime geçildiğini doğruladığını belirtmek gerekir. Mantiant ve Google, tamamen ortaya çıkmadan önce saldırıları bozabildiler. Ancak Dewhurst, yakın gelecekte daha yaygın hasar potansiyelini vurgulayarak “daha geniş etkinin henüz ortaya çıkmadığı, ancak bu” diye uyardı.