Sitecore’daki Sıfır Gün Açığı ve WeepSteel Malware’i
Siber saldırganlar, Sitecore’un eski sürümlerinde keşfedilen CVE-2025-53690 kodlu sıfır gün açığını kullanarak WeepSteel adlı bir keşif malware’i dağıtmaktadır. Bu açık, önceden 2017 yılından önce oluşturulmuş Sitecore kılavuzlarındaki bir ASP.NET makine anahtarının dahil edilmesi nedeniyle meydana gelen bir ViewState serileştirme açığıdır. Bazı kullanıcılar bu anahtarı üretim ortamlarında tekrar kullanmışlardır, bu da saldırganların anahtar bilgisini kullanarak geçerli, ancak kötü amaçlı _VIEWSTATE yükleri oluşturabilmesine olanak tanımıştır. Bu yükler, sunucunun bunları serileştirmesi ve çalıştırması için kandırarak uzaktan kod çalıştırma (RCE) olaylarına yol açmıştır.
ASP.NET‘teki bir hata değil, kamuya açık belgelenmiş anahtarların üretim için asla tasarlanmamış bir yanlış yapılandırma açığıdır.
Saldırı Faaliyetleri
Mandiant araştırmacıları, bu kötü niyetli faaliyeti keşfettikten sonra, saldırganların açığı çok aşamalı saldırılarda kullandığını bildirmiştir. Saldırganlar, /sitecore/blocked.aspx uç noktasını hedef alarak, burada bulunan kimlik doğrulaması gerektirmeyen ViewState alanını kullanarak RCE elde etmiştir. Bu işlem, IIS NETWORK SERVICE hesabıyla yapılmaktadır. İndirilen kötü amaçlı yük ise, sistem, süreç, disk ve ağ bilgilerini toplayan bir keşif arka kapısı olan WeepSteel’dir. Bu arka kapı, verileri, standart ViewState yanıtları olarak gizlendirerek dışarıya sızdırmaktadır.
Mandiant bu tür keşif komutlarının saldırıya uğramış çevrelerde yürütüldüğünü gözlemlemiştir. Bu komutlar arasında whoami, hostname, tasklist, ipconfig /all ve netstat -ano bulunmaktadır.
Saldırının bir sonraki aşamasında, hackerlar Earthworm (bir ağ tünelleme ve ters SOCKS proxy aracı), Dwagent (uzaktan erişim aracı) ve 7-Zip‘i dağıtmaktadır. 7-Zip, çalınan verilerin arşivlerini oluşturmak için kullanılır. Takip eden süreçte, yerel yönetici hesapları (asp$, sawadmin) oluşturarak ayrıcalıklarını yükseltmiş ve kimlik bilgilerini (SAM ve SYSTEM hive‘leri) çökmüşlerdir. Ayrıca, GoTokenTheft aracılığıyla token sahtekarlığı yapmayı denemişlerdir.
Sürekli olarak erişim sağlamak için bu hesaplar için şifre süresinin sona ermesini devre dışı bırakmış ve RDP erişimi sağlanmıştır. Dwagent daha sonra bir SYSTEM servisi olarak kayıtlı hale getirilmiştir.
CVE-2025-53690’ı Önleme Yöntemleri
CVE-2025-53690, Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) ve Managed Cloud‘u etkilemektedir. Bu açık, 2017’den önceki belgelerdeki örnek ASP.NET makine anahtarı kullanılarak dağıtılmış olan sürümlerde karşımıza çıkmaktadır. Sitecore, Mandiant raporu ile koordinasyon içinde bir güvenlik bülteni yayımlamış ve statik makine anahtarları ile çoklu dağıtımların da risk altında olduğunu bildirmiştir.
Olası etkilenmiş yöneticiler için önerilen adımlar, hemen web.config içindeki tüm statik değerleri yeni ve benzersiz anahtarlarla değiştirmek ve web.config içindeki elementin şifrelenmesini sağlamaktır. Genel olarak, düzenli statik makine anahtarı döngüsü, sürekli bir güvenlik önlemi olarak benimsenmelidir.
ASP.NET makine anahtarlarını yetkisiz erişimden koruma yöntemleri hakkında daha fazla bilgiyi buradan bulabilirsiniz.
Sonuç olarak, siber güvenlik tehditleri ve bu tür açıkların sistemde oluşturabileceği tehlikeler göz önüne alındığında, işletmelerin güvenlik protokollerini sürekli güncellemeleri ve anlamaları önemlidir. Bu tür tehditleri ağ düzeyinde tespit etmek ve karşı koymak için gereken önlemler alınmadığında, siber güvenlik ihlalleri kaçınılmaz hale gelecektir.
