Sitecore Experience Platform’da Tespit Edilen Güvenlik Açıkları
Son dönemde, Sitecore Experience Platform (XP) ile ilgili önemli güvenlik açıkları ortaya çıkarıldı. Olası siber saldırılara karşı ciddi tehdit oluşturan bu güvenlik sorunları, yazılım kullanıcılarını derinden etkileyebilir. Bu makalede, tespit edilen güvenlik açıklarını, bu açıkların ne gibi tehlikeler taşıdığını ve kullanıcıların bunlardan nasıl korunması gerektiğini inceleyeceğiz.
Güvenlik Açıklarının Detayları
Siber güvenlik araştırmacıları, Sitecore XP‘de üç önemli güvenlik açığı tespit etti. Bu açıklara göre, kötü niyetli kişiler, saldırılarla birlikte öncesinden kimlik doğrulaması yapılmamış uzaktan kod yürütme gerçekleştirebilir. İşte tespit edilen açıklar:
- Sertifikalı kimlik bilgileri kullanımı
- Takvim sonrası uzaktan kod yürütme (path traversal)
- Sitecore PowerShell Extensions üzerinden takvim sonrası uzaktan kod yürütme
Bu açıkların henüz CVE (Common Vulnerabilities and Exposures) numaraları ile sınıflandırılmadığı belirtildi.
Hard-Coded Şifre Sorunu
watchTowr Labs araştırmacılarından Piotr Bazydlo, Sitecore XP’deki varsayılan kullanıcı hesabının "sitecoreServicesAPI" olduğunu ve bu hesabın hard-coded bir şifre olan "b" ile tanımlandığını açıkladı. Kullanıcının Sitecore içinde herhangi bir rol veya izin verilmiş olmamasına rağmen, bu şifre, "/sitecore/admin" API uç noktasında giriş yapmak ve geçerli bir oturum çerezi almak için kullanılabiliyor.
Bazydlo, “Sitecore Applications” bölümüne erişimin mümkün olmadığını, ancak yine de bir dizi API’ye erişimin sağlanabileceğini vurguladı. Bu durum, ZIP kaydırma açığı üzerinden uzaktan kod yürütme imkanını tanıyarak, kötü niyetli bir ZIP dosyasının "/sitecore/shell/Applications/Dialogs/Upload/Upload2.aspx" uç noktasına yüklenmesine olanak tanıyor.
Sıralı Saldırı Adımları
Aşağıda, bu güvenlik açığının nasıl kullanılabileceğine dair adımlar sıralanmıştır:
- "sitecoreServicesAPI" kullanıcısı olarak kimlik doğrulaması yap
- Upload2.aspx‘ye eriş
- İçinde web shell bulunan bir ZIP dosyası yükle
- İndirme seçeneğini kontrol et ve yüklemeyi tamamla
- Web shell’e eriş
Bu adımlar, kötü niyetli kişilerin sistem üzerinde tam kontrol elde etmesine yardımcı olabilir.
PowerShell Uzantıları Üzerinden Erişim
Üçüncü güvenlik açığı, PowerShell Extensions üzerinde sınırsız dosya yükleme hatasından kaynaklanıyor. Bu açık, yukarıda belirtilen "sitecoreServicesAPI" kullanıcısı ile kötüye kullanılabilir ve uzaktan kod yürütmeye olanak tanır. Bu tür bir saldırı, "/sitecore%20modules/Shell/PowerShell/UploadFile/PowerShellUploadFile2.aspx" uç noktasından gerçekleştirilir.
watchTowr, hard-coded şifrenin Sitecore kurulum dosyasından kaynaklandığını ve bu versiyonun 10.1 ile birlikte kullanıma sunulduğunu belirtiyor. Dolayısıyla, bu açığın etkili olabilmesi için Sitecore’un 10.1 veya üzeri bir versiyonla kurulum yapılmış olması gerekmektedir.
Kullanıcıların Dikkat Etmesi Gerekenler
Etkinin daha geniş kitlelere yayılmaması için kullanıcıların, özellikle güvenlik açığı tespit edilen versiyonları kullananların hemen güncellemeleri gerekir. Daha önce yayımlanan CVE-2019-9874 ve CVE-2019-9875 numaralı güvenlik açıklarının da aktif olarak istismar edildiği göz önünde bulundurulursa, sıkı bir şekilde güncelleme yapılması elzemdir.
watchTowr CEO’su Benjamin Harris, Sitecore’un binlerce kuruluşta, bankalardan, havayollarına ve küresel şirketlere kadar farklı alanlarda kullanıldığını ifade ederek bu güvenlik açıklarının etkisinin geniş olacağını belirtti. Harris, “Sitecore kullanıyorsanız, bu durum daha kötüye gitmez; hemen şifrelerinizi değiştirin ve güncellemeleri yapın” uyarısında bulundu.
Sitecore XP kullanıcıları için bu güvenlik açıkları, siber tehditlerin çoğalmasıyla birlikte ciddi bir endişe kaynağıdır. Güvenli bir dijital ortam sağlamak için kullanıcıların, yazılım sistemlerini güncel tutması ve düzenli olarak güvenlik kontrolleri yapması gerekmektedir.
