Sitecore Experience Platform (XP) Güvenlik Açıkları
Sitecore Experience Platform (XP), işletmelerin web siteleri ve dijital medya üzerindeki içeriklerini yönetmek için kullandığı popüler bir kurumsal İçerik Yönetim Sistemi (CMS)‘dir. Ancak, yeni keşfedilen bir güvenlik açığı dizisi, siber saldırganların uzaktan kod yürütme (RCE) gerçekleştirebilmesine yol açıyor. Bu zafiyetler, kimlik doğrulaması olmaksızın sunucuları ele geçirme ve kontrol altına alma imkanı sağlıyor.
Güvenlik Açıklarının Keşfi
Bu zafiyetler, watchTowr araştırmacıları tarafından keşfedildi. Bugün açıklanan bu pre-auth RCE zinciri, üç ayrı güvenlik açığından oluşuyor. İlk olarak, içinde hardcoded bir şifre olan bir iç kullanıcı (sitecoreServicesAPI) var. Bu kullanıcının şifresi "b" olarak ayarlandığı için, bu durum saldırganlar için kolaylık sağlıyor.
Bu entegre kullanıcı yönetici değil ve herhangi bir rol atanmış değil. Bununla birlikte, araştırmacılar, Sitecore’un arka uç kimlik doğrulama kontrollerinin, temel olmayan veritabanı bağlamlarında aşıldığını fark ederek, alternatif bir giriş yoluyla (sitecore/admin) kimlik doğrulaması yapabiliyorlar.
Geçerli Oturum Oluşturma
Atomik bir tutulma sağlandıktan sonra, saldırganlar geçerli bir .AspNet.Cookies oturumu elde ediyor. Bu oturum, saldırgana, Sitecore rol kontrollerine tabi olmayan ancak IIS düzeyinde yetkilendirilmiş olan iç uç noktalara erişim sağlıyor.
İkinci Açığın Kötüye Kullanımı
Temel erişim sağlandıktan sonra, saldırganlar Sitecore’un Upload Wizard özelliğindeki ikinci bir açığı kullanabilirler. watchTowr’a göre, yüklenen bir ZIP dosyası, //../webshell.aspx gibi kötü niyetli bir dosya yoluna sahip olabilir. Yetersiz yol sanitizasyonu ve Sitecore’un yol eşlemesi yöntemi nedeniyle, bu durum, sistem yolunun tamamını bilmeden rastgele dosyaların web köküne yazılmasına yol açıyor.
Bu, saldırganın bir web shell yüklemesine ve uzaktan kod çalıştırmasına olanak tanıyor.
Üçüncü Açık ve Sitecore PowerShell Extensions
Üçüncü zafiyet ise Sitecore PowerShell Extensions (SPE) modülü yüklü olduğunda kullanılabilir hale geliyor. Bu modül genellikle SXA ile birlikte gelir. Bu zafiyet, saldırgana, belirttiği dosya yollarına rastgele dosyalar yükleyebilme ve uzantı veya konum kısıtlamalarını tamamen aşabilme imkanı tanır. Bu durum, güvenilir RCE için daha basit bir yol sağlıyor.
Etki ve Risk Analizi
watchTowr tarafından bildirilen üç zafiyet, Sitecore XP sürümleri 10.1 ile 10.4 arasında etkili. Yapılan taramalar, 22,000’den fazla halka açık Sitecore örneğinin varlığını gösteriyor ve bu durum, önemli bir saldırı yüzeyi oluşturuyor. Ancak, tüm bu örneklerin mutlaka savunmasız olduğu anlamına gelmiyor.
Mayıs 2025’te, sorunları ele alan yamaların mevcut olduğu bildirildi ancak CVE kimlikleri ve teknik detaylar, müşterilerin güncellemeleri yapabilmesi için 17 Haziran 2025 tarihine kadar gizli tutuldu.
watchTowr CEO’su Benjamin Harris, BleepingComputer ile yaptığı bir görüşmede, "Sitecore, bankalar, havayolları ve küresel işletmeler dahil olmak üzere binlerce ortamda dağıtılmış durumda – dolayısıyla etkisi büyük," şeklinde ifade etti. "Ve evet, bu teorik değil: zincirin tamamını baştan sona çalıştırdık. Eğer Sitecore kullanıyorsanız, durumun daha kötüye gitmesi mümkün değil – kimlik bilgilerini değiştirin ve saldırganlar fix’i tersine mühendislik yapmadan önce hemen yamanızı yapın."
Yazıldığı esnada, gerçek dünya üzerindeki istismar için herhangi bir kamuya açık kanıt yok, ancak watchTowr’ın teknik blogu, tamamen çalışır bir istismar oluşturmak için yeterli detay içeriyor. Bu durum, gerçek dünya kullanımı riskinin kaçınılmaz olduğu anlamına geliyor.
Sonuç
Sitecore kullanıcılarının, mevcut güvenlik açıklarından ötürü dikkatli olmaları son derece önemlidir. Hem güncellemeleri takip etmek hem de gerekli sistem kontrollerini sağlamak, olası siber saldırılara karşı en etkili savunma yöntemidir. Alınacak önlemler, yalnızca güvenliği artırmakla kalmayacak, aynı zamanda iş sürekliliğini de koruma altına alacaktır.
