CISA, Sitecore RCE Güvenlik Açıkları Hakkında Uyardı; Next.js ve DrayTek Cihazları Hedef Alan Saldırılar Devam Ediyor

27.03.2025

CISA, aktif olarak istismar edildiği tespit edilen iki kritik Sitecore CMS güvenlik açığını (CVE-2019-9874, CVE-2019-9875) Known Exploited Vulnerabilities (KEV) kataloğuna ekledi. Sitecore.Security.AntiCSRF modülündeki bu serileştirme açıkları, saldırganların değiştirilmiş HTTP POST istekleri aracılığıyla rastgele kod çalıştırmasına olanak tanıyor. Sitecore, CVE-2019-9874’ün 2020 yılında saldırıya uğradığını doğrularken, CVE-2019-9875’in istismar edildiğine dair henüz bir kanıt bulunmuyor. Federal kurumların 16 Nisan 2025’e kadar ilgili yamaları uygulaması gerekiyor.

Bu sırada, Akamai CVE-2025-29927 adlı Next.js’teki kritik bir yetkilendirme atlatma güvenlik açığını hedef alan istismar girişimlerini tespit etti. Saldırganlar, "x-middleware-subrequest" başlığını manipüle ederek güvenlik kontrollerini aşabiliyor ve hassas kaynaklara yetkisiz erişim sağlayabiliyor. Next.js’in dahili yönlendirme mantığını istismar eden bu saldırılar, daha önce kamuya açık olarak paylaşılan kavram kanıtı (PoC) saldırılarına benziyor.

Siber güvenlik firması GreyNoise, DrayTek cihazlarındaki çeşitli güvenlik açıklarının da aktif olarak istismar edildiğini bildirdi. Bu açıklar arasında, bazı yönlendirici modellerinde uzaktan kod yürütmeye izin veren CVE-2020-8515 ile DrayTek VigorConnect’te root ayrıcalıklarıyla yetkisiz dosya indirilmesine imkan tanıyan CVE-2021-20123 ve CVE-2021-20124 bulunuyor. Bu saldırılar özellikle Endonezya, Hong Kong, ABD, Litvanya ve Singapur’u hedef alıyor.

Bu olaylar, yaygın olarak kullanılan yazılım ve ağ cihazlarının sürekli tehdit altında olduğunu gösteriyor ve güvenlik güncellemelerinin zamanında uygulanmasının yanı sıra proaktif savunma önlemlerinin alınmasının önemini vurguluyor.