CISA’dan Kritik Sitecore Güvenlik Açığı İçin Acil Yama Uyarısı

Anasayfa » CISA’dan Kritik Sitecore Güvenlik Açığı İçin Acil Yama Uyarısı
Güvenlik Açıkları, Haberler, Siber Güvenlik
Eylül 22, 2025Ekim 25, 2025Tarafından admin
0
CISA’dan Kritik Sitecore Güvenlik Açığı İçin Acil Yama Uyarısı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) ve Managed Cloud ürünlerinde aktif olarak istismar edilen kritik bir güvenlik açığı için acil yama talimatı yayınladı. CVE-2025-53690 kodlu bu açık, ASP.NET makine anahtarlarının güvensiz veri serileştirme yoluyla uzaktan kod yürütme saldırılarına zemin hazırlamasına neden oluyor.

Açığın Teknik Detayları ve İstismar Zinciri

Google’a bağlı Mandiant tarafından keşfedilen bu saldırı, ViewState serileştirme saldırılarını kullanıyor ve 2017 öncesi Sitecore dağıtım kılavuzlarında yer alan örnek makine anahtarlarının kötüye kullanılmasıyla gerçekleşiyor. Saldırganlar, ele geçirilen makine anahtarlarıyla ilk sunucu ihlalini sağlayıp ardından Active Directory keşfi, ayrıcalık yükseltme ve yatay hareket gibi aşamaları içeren karmaşık bir saldırı zinciri oluşturuyor.

Bu süreçte EarthWorm, DWAgent, SharpHound ve GoTokenTheft gibi açık kaynak ve özel araçlar kullanılarak ağda tünelleme, kalıcı erişim sağlama ve sistem üzerindeki kullanıcı jetonlarıyla komut yürütme gerçekleştiriliyor. Ayrıca, saldırganların yerel yönetici hesapları oluşturup SAM/SYSTEM kovanlarını dökerek yönetici kimlik bilgilerini ele geçirmeye çalıştığı tespit edildi.

Önlemler ve Tavsiyeler

Uzmanlar, ASP.NET makine anahtarlarının derhal değiştirilmesini, yapılandırmaların kilitlenmesini ve ortamların ihlal belirtileri açısından kapsamlı şekilde taranmasını öneriyor. Sitecore, yeni dağıtımlarda anahtarların otomatik oluşturulduğunu ve etkilenen müşterilere bilgilendirme yapıldığını açıkladı. Ancak, kamuya açık belgelerde yer alan statik anahtarların kullanımı nedeniyle risk devam ediyor.

VulnCheck ve watchTowr gibi güvenlik araştırma ekipleri, bu açığın temelinde resmi belgelerde yayımlanan örnek anahtarların kopyalanmasının yattığını belirtiyor. Bu durum, ViewState serileştirme saldırılarına karşı doğrudan uzaktan kod yürütme kapısı açıyor ve siber güvenlik profesyonellerinin dikkatle ele alması gereken bir tehdit oluşturuyor.

, , , , , , ,