Aktor-aktor ancaman telah mengeksploitasi kerentanan nol-hari dalam penyebaran warisan Sitecore untuk menggunakan malware pengintaian weepsteel.
Cacat, dilacak di bawah CVE-2025-53690, adalah kerentanan deserialisasi viewstate yang disebabkan oleh dimasukkannya kunci mesin ASP.NET dalam pemandu Sitecore pra-2017.
Beberapa pelanggan menggunakan kembali kunci ini dalam produksi, yang memungkinkan penyerang dengan pengetahuan tentang kunci untuk membuat payload yang valid, tetapi ‘_viewState’ yang valid, tetapi ‘_viewState’ yang menipu server untuk deserialisasi dan melaksanakannya, yang mengarah ke eksekusi kode jarak jauh (RCE).
Kelemahan itu bukan bug di ASP.NET itu sendiri, tetapi kerentanan salah konfigurasi yang diciptakan dengan menggunakan kembali kunci yang didokumentasikan secara publik yang tidak pernah dimaksudkan untuk diproduksi.
Aktivitas eksploitasi
Peneliti mandian, yang menemukan Aktivitas jahat di alam liar, melaporkan bahwa aktor ancaman telah memanfaatkan cacat dalam serangan multi-tahap.
Para penyerang menargetkan ‘/Sitecore/diblokir. Titik akhir ASPX, yang berisi bidang viewstate viewstate yang tidak tertekan, dan mencapai RCE di bawah Akun Layanan Jaringan IIS dengan memanfaatkan CVE-2025-53690.
Payload berbahaya yang mereka tetes adalah Weepsteel, sebuah punggung pengintaian yang mengumpulkan sistem, proses, disk, dan informasi jaringan, menyamarkan exfiltrasinya sebagai tanggapan standar -view -states.
Sumber: Mandiant
Mandiant mengamati eksekusi perintah pengintaian di lingkungan yang dikompromikan, termasuk whoami, hostname, daftar tugas, ipconfig /all, dan netstat -ano.
Pada tahap serangan berikutnya, para peretas mengerahkan cacing tanah (proxy jaringan tunneling dan terbalik), Dwagent (alat akses jarak jauh), dan 7-zip, yang digunakan untuk membuat arsip data yang dicuri.
Selanjutnya, mereka meningkatkan hak istimewa mereka dengan membuat akun administrator lokal (‘ASP $,’ ‘Sawadmin’), disusun (SAM dan System Sarang) yang di -cache (SAM dan System Sarang) dumping, dan mencoba token yang menyamar sebagai Gookentheft.
Kegigihan diamankan dengan menonaktifkan kedaluwarsa kata sandi untuk akun ini, memberi mereka akses RDP, dan mendaftarkan Dwagent sebagai Layanan Sistem.
Sumber: Mandiant
Mengurangi CVE-2025-53690
CVE-2025-53690 Dampak Sitecore Experience Manager (XM), Platform Pengalaman (XP), Commerce Experience (XC), dan Cloud yang Dikelola, hingga Versi 9.0, ketika digunakan menggunakan kunci mesin ASP.NET yang termasuk dalam dokumentasi pra-2017.
XM Cloud, Hub Konten, CDP, Personalisasi, OrderCloud, Storefront, Send, Discover, Search, dan Commerce Server tidak terpengaruh.
Sitecore diterbitkan a Buletin Keamanan Dalam koordinasi dengan laporan Mandiant, memperingatkan bahwa penyebaran multi-instance dengan kunci mesin statis juga berisiko.
Tindakan yang disarankan untuk administrator yang berpotensi berdampak adalah untuk segera mengganti semua statis Secara umum, disarankan untuk mengadopsi rotasi kunci mesin statis reguler sebagai tindakan keamanan yang berkelanjutan.
Informasi lebih lanjut tentang cara melindungi kunci mesin ASP.NET dari akses yang tidak sah dapat ditemukan di sini.
