Sitecore’da aniqlangan xavfli zaiflik: xakerlar masofadan kod bajarishi mumkin

Google va Mandiant mutaxassislari yaqinda Sitecore mahsulotlarida xavfli nol kunlik (zero-day) zaiflik topilganini ma’lum qilishdi. Bu zaiflikdan foydalanib, xakerlar serverga kirib masofadan turib kod ishlatishi mumkin.

Zaiflik nimada?

Zaiflikka CVE-2025-53690 raqami berilgan. Muammo ViewState deserializatsiyasi jarayonida yuzaga keladi. Sababi — Sitecore’ning 2017-yilgacha bo‘lgan qo‘llanmalarida ASP.NET uchun berilgan namunaviy “machine key” kalitlari hali ham ba’zi foydalanuvchilarda qo‘llanilmoqda.

Xakerlar shu kalitlarni bilgan holda serverga zararli ViewState ma’lumotlarini yuboradi va natijada tizimda o‘z kodlarini ishlatib yuborishadi.

Sitecore bu zaiflikni SC2025-005 sifatida ro‘yxatdan o‘tkazgan va endilikda yangi o‘rnatishlarda avtomatik tarzda noyob kalitlar hosil bo‘lishini yo‘lga qo‘ygan.

Qaysi mahsulotlar ta’sirlangan?

  • Experience Manager (XM)
  • Experience Platform (XP)
  • Experience Commerce (XC)
  • Managed Cloud

Ammo XM Cloud, Content Hub va OrderCloud kabi xizmatlar bu muammoga taalluqli emas.

Hujum qanday bo‘lgan?

Mandiant tekshiruviga ko‘ra, hujum quyidagicha amalga oshirilgan:

  1. Xakerlar internetga ochiq turgan Sitecore serverini zaiflik orqali buzishgan.
  2. Serverga WEEPSTEEL nomli zararli dastur yuborilgan. U tizim va foydalanuvchilar haqidagi ma’lumotlarni yig‘ib, tashqariga jo‘natgan.
  3. Keyinchalik boshqa vositalar o‘rnatilgan:
    • EARTHWORM — yashirin aloqa kanali uchun;
    • DWAGENT — uzoqdan boshqaruv uchun;
    • SHARPHOUND — Active Directory tahlili uchun.
  4. Ular yangi administrator hisoblari yaratib, tizimdan parollarni olishga harakat qilishgan va RDP orqali tarmoqqa chuqurroq kirishga urinishgan.
  5. Oxirida DWAGENT xizmat sifatida o‘rnatilib, parol muddati tugamasligi uchun sozlamalar o‘zgartirilgan.

Himoya qilish usullari

Mutaxassislar barcha Sitecore foydalanuvchilariga quyidagilarni tavsiya qilishmoqda:

  • Machine key kalitlarini avtomatik ravishda almashtirib turish;
  • ViewState MAC himoyasini yoqish;
  • Maxfiy ma’lumotlarni shifrlash, plaintext ko‘rinishda saqlamaslik;
  • Eng so‘nggi xavfsizlik yamoqlarini darhol o‘rnatish.

Bu voqea yana bir bor shuni ko‘rsatadiki, namunaviy yoki standart sozlamalardan foydalanish juda katta xavf tug‘diradi. Bir qarashda oddiy bo‘lib ko‘ringan konfiguratsiya yillar o‘tib, butun tizimni xakerlar oldida himoyasiz qoldirishi mumkin.

Shuning uchun tashkilotlar muntazam ravishda tizimni yangilab turishlari, xavfsizlik monitoringini yo‘lga qo‘yishlari va doimo proaktiv choralar ko‘rishlari zarur.