Sitecore Güvenlik Açığı: CVE-2025-53690 Nedir?
Federal sivil yürütme daireleri, CVE-2025-53690 koduyla tanımlanan bir güvenlik açığının ardından 25 Eylül 2025’e kadar Sitecore örneklerini güncellemeleri gerektiği konusunda uyarılmıştır. Bu güvenlik açığı, kritik bir CVSS skoru olan 9.0 ile derecelendirilmiştir ve aktif olarak kötüye kullanılmaktadır. Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) ve Managed Cloud gibi ürünlerde yer alan bu açık, varsayılan makine anahtarlarının kullanımıyla ilgilidir.
Açığın Detayları ve İşleyişi
U.S. Cybersecurity and Infrastructure Security Agency (CISA), bu açığın saldırganların ASP.NET makine anahtarlarını hedef alarak uzaktan kod yürütme erişimi elde etmesine yol açtığını belirtmiştir. Mandiant, bu açığın nasıl aktif olarak kötüye kullanıldığını araştıran bir firma, 2017 ve öncesindeki Sitecore dağıtım kılavuzlarında yer alan örnek makine anahtarlarının kötüye kullanıldığını ortaya koymuştur.
Araştırmacılar, saldırganların uzaktan erişim sağlamak için ilk sunucu ihlalinden yetki yükseltmesine kadar ilerleme kaydettiğini belirtmiştir. Saldırganların, hedef ürün ve kullanılabilen güvenlik açığı hakkında derin bir anlayışa sahip olduğu gözlemlenmiştir.
Gelişmeler ve Diğer Etkiler
Microsoft, bu tür güvenlik ihlalleriyle ilgili olarak ilk kez Şubat 2025‘te resmi bir açıklama yaptı. Bu tarihten önce, bilinmeyen tehditle ilişkili aktörlerin, Godzilla adı verilen bir süreç sonrası çerçeveyi dağıtmak için bu tür anahtarları kullandığı tespit edilmiştir. Mayıs 2025‘te ConnectWise, ScreenConnect üzerinde bir kimlik doğrulama hatası hakkında bilgi verdi ve bu hatanın belirli müşteri gruplarını hedef aldığını duyurdu.
Temmuz ayında, Gold Melody olarak bilinen bir başlangıç erişim aracı, sızdırılan ASP.NET makine anahtarlarını kullanarak yasadışı erişim elde etme ve bu erişimi diğer zararlı aktörlere satma girişimlerinde bulundu.
Bilgilerin Çalınması ve Kullanılan Araçlar
Mandiant tarafından belgelenen saldırı zincirinde, CVE-2025-53690 kullanılarak internet üzerinden erişilebilen Sitecore örneğine ilk ihlalin yapıldığı, ardından keşif, uzaktan erişim ve Aktif Dizin araştırması gibi hedefleri olan araç ve yöntemlerin kullanıldığı ortaya konmuştur.
Kötü amaçlı yazılım olarak WEEPSTEEL isimli bir .NET bileşeni kullanılmış ve bu bileşen, sistem, ağ ve kullanıcı bilgilerini toplayarak saldırgana geri iletmiştir. Bunun yanı sıra, bazı araçlar şu şekildedir:
- EarthWorm: Ağ tünelleme için kullanılır.
- DWAgent: Kalıcı uzaktan erişim ve Aktif Dizin araştırması sağlar.
- SharpHound: Aktif Dizin araştırması için kullanılır.
- GoTokenTheft: Kullanıcı tokenlerini listeleme ve komut yürütme işlemleri için kullanılır.
- Remote Desktop Protocol (RDP): Ağ üzerinde yatay hareket etmeyi sağlar.
Saldırganların yerel yönetici hesapları oluşturduğu ve bu hesapları kullanarak SAM/SYSTEM hives’larını boşaltmaya çalıştığı gözlemlenmiştir. Bu, yönetici kimlik bilgilerine ulaşmayı amaçlamaktadır.
Öneriler ve Önlemler
Karşılaştıkları bu tür tehditlere karşı, kurumlar ASP.NET makine anahtarlarını döndürmeli, yapılandırmalarını güvence altına almalı ve ihlal belirtileri için çevrelerini taramalıdır. Caitlin Condon, güvenlik araştırmaları sorumlusuna göre bu tür anahtarların kötü niyetli kişiler tarafından kullanıldığı anlaşılmaktadır.
Defansif önlemlerin yanı sıra, Sitecore müşterilerinin resmi dökümantasyonlardan örnek anahtarları kopyalayıp yapıştırmak yerine, benzersiz ve rastgele anahtarlar üretmesi büyük önem taşımaktadır. Sitecore, yeni dağıtımların artık otomatik anahtarlar ürettiğini belirtmiştir. Ancak, daha önce etkilenen müşteri sayısı henüz netlik kazanmamıştır.
Bu güvenlik açığının meydana gelmesi, bilişim güvenliği alanında dikkat edilmesi gereken önemli bir olayı temsil etmektedir. Kurumların güvenlik önceliklerini artırmaları ve bu tür tehditlere karşı proaktif bir yaklaşım benimsemeleri elzemdir.
