انتشار شده در تاریخ 1404/06/17 - 07:24

دستور آژانس امنیت سایبری آمریکا برای رفع آسیب‌پذیری سایتکور

سازمان‌های غیرنظامی فدرال آمریکا تا ۲۵ سپتامبر فرصت دارند آسیب‌پذیری موجود در سامانه‌ی مدیریت محتوای سایتکور را وصله کنند؛ پس از آن‌که تیم‌های واکنش به رخداد اعلام کردند یک حمله اخیر مرتبط با این نقص را متوقف کرده‌اند.

به گزارش کارگروه بین الملل خبرگزاری سایبربان، شرکت سایتکور (Sitecore) روز چهارشنبه بولتنی درباره‌ی CVE-2025-53690 منتشر کرد؛ آسیب‌پذیری‌ای که چندین محصول این شرکت را تحت تأثیر قرار می‌دهد.

مشکل اصلی استفاده از یک کلید نمونه‌ی ماشین (Machine Key) است که در راهنماهای استقرار این نرم‌افزار تا سال ۲۰۱۷ درج شده بود.

بسیاری از مشتریان همان کلید نمونه را به کار گرفتند و هرگز آن را تغییر ندادند.

شرکت امنیتی ماندیانت (Mandiant) اعلام کرد اخیراً حمله‌ای را خنثی کرده که در آن هکرها از همین کلید نمونه برای دسترسی استفاده کرده بودند.

سایتکور تأیید کرده است که در استقرارهای جدید، کلیدهای ماشین به‌طور خودکار به‌صورت یکتا تولید می‌شوند و همه‌ی مشتریان آسیب‌پذیر اطلاع‌رسانی شده‌اند.

این شرکت به درخواست رسانه‌ها برای اظهار نظر پاسخی نداده است.

پس از هشدارهای سایتکور و ماندیانت، آژانس امنیت سایبری و زیرساخت آمریکا (CISA) این آسیب‌پذیری را به فهرست باگ‌های مورد سوءاستفاده اضافه کرد و به سازمان‌های فدرال سه هفته فرصت داد تا وصله کنند.

سایتکور از مشتریانی که از کلید نمونه استفاده کرده‌اند خواسته است محیط‌های خود را برای رفتار مشکوک بررسی کنند، کلیدها را تغییر دهند، از رمزگذاری اطلاعات حساس اطمینان یابند، دسترسی به برخی فایل‌ها را فقط به مدیران محدود کنند و «رویه‌ی چرخش دوره‌ای کلیدهای ایستای ماشین» را پیاده‌سازی نمایند.

به گفته‌ی ماندیانت، در حمله‌ای که متوقف شد، درک عمیق مهاجم ناشناس از محصول نفوذکرده و آسیب‌پذیری مورد سوءاستفاده، در روند حرکت او از مرحله‌ی نفوذ اولیه به سرور تا ارتقای سطح دسترسی آشکار بود.

هکر ابتدا از این آسیب‌پذیری در یک نسخه اینترنتی سایتکور سوءاستفاده کرده و سپس بدافزار شناسایی موسوم به ویپ استیل (WEEPSTEEL) را به کار برد.

او تلاش کرد به فایل‌های حساس دسترسی پیدا کند و حساب‌های مدیر سیستم ایجاد نماید.

سایتکور در اطلاعیه خود یادآور شد که مایکروسافت و ماندیانت هر دو راهنمایی‌هایی برای مشتریان ارائه کرده‌اند.

مایکروسافت پیش‌تر در فوریه درباره یک کمپین محدود که سال گذشته شاهد آن بود و شامل استفاده از کلیدهای ایستای ماشین در حملات می‌شد، هشدار داده بود.

مایکروسافت اعلام کرد:

در جریان تحقیقات، رفع و مقابله با این فعالیت‌ها مشاهده کردیم که برخی توسعه‌دهندگان کلیدهای عمومی ماشین ASP.NET را از منابع عمومی همچون مستندات و مخازن کد دریافت کرده و در کد توسعه وارد کرده‌اند؛ اقدامی ناایمن که توسط مهاجمان برای اجرای فعالیت‌های مخرب روی سرورهای هدف به کار گرفته شده است. تاکنون بیش از ۳ هزار کلید عمومی شناسایی شده‌اند که می‌توانند برای چنین حملاتی استفاده شوند. این حملات که به عنوان حملات تزریق کد ویو استیت (ViewState code injection attacks) شناخته می‌شوند، معمولاً پیش‌تر با استفاده از کلیدهای سرقتی یا به‌فروش‌رفته در دارک‌وب انجام می‌شدند. اما این کلیدهای عمومی خطر بیشتری دارند زیرا به‌طور گسترده در مخازن کد موجود بوده و احتمال دارد بدون تغییر در کدهای توسعه وارد شده باشند.