多个 Sitecore 产品中的一个严重零日漏洞可能允许攻击者远程执行代码。
该漏洞被识别为 CVE-2025-53690,源于 ViewState 反序列化缺陷,并正在野外被积极利用。
Mandiant 的调查显示,攻击者正在利用 2017 年及更早的 Sitecore 部署指南中包含的公开 ASP.NET 机器密钥。
这些密钥允许恶意行为者绕过验证机制并将有害的 ViewState 有效负载发送到服务器,从而导致远程代码执行。
Sitecore 已确认该漏洞,并将其标记为 SC2025-005,并确认它影响了使用过时部署指南中示例计算机密钥的客户。
此后,该公司更新了其部署流程以自动生成唯一的机器密钥,并已通知受影响的客户。
受影响的产品和攻击详细信息
该漏洞可能会影响 Sitecore 的几个主要产品,包括:
- 体验管理器 (XM)
- Experience Platform (XP)
- 体验商务 (XC)
- 托管云
XM Cloud、Content Hub 和 OrderCloud 等产品不受影响。Sitecore 敦促客户查阅其官方咨询,以获取完整的列表和指南。
Mandiant 的快速响应在观察到整个生命周期之前就中断了攻击,但他们的调查为了解攻击者的方法提供了重要的见解。
该攻击始于利用面向互联网的 Sitecore 实例上的 ViewState 反序列化漏洞。然后,攻击者使用一种名为 WEEPSTEEL 的自定义恶意软件进行内部侦察。
该恶意软件嵌入在解密的 ViewState 有效负载中,收集系统、网络和用户信息,然后对其进行加密和泄露。
在最初的入侵之后,攻击者在公共目录中暂存了几个开源工具以扩大他们的立足点。这些包括:
- 蚯蚓:用于创建隐蔽命令和控制通道的网络隧道工具。
- DWAGENT的:用于持久访问的远程访问工具。
- 锋利猎犬:Active Directory 侦察工具。
然后,威胁行为者通过创建本地管理员帐户来提升其权限,并尝试从 SAM/SYSTEM 硬件中转储凭据,以使用远程桌面协议 (RDP) 促进跨网络的横向移动。
为了保持他们的存在,他们安装了 DWAGENT 即服务并修改了帐户设置以防止密码过期。
缓解措施
Mandiant 建议所有 Sitecore 客户审查其环境并为 ASP.NET 实施安全最佳实践。
这包括自动执行计算机密钥轮换、启用视图状态消息验证码 (MAC) 以及加密任何明文机密。
Sitecore 在其官方公告 (SC2025-005) 中提供了详细的修复说明。
该公司强烈鼓励客户确保其环境运行安全支持的版本,并立即应用所有可用的安全修复程序。
此漏洞的发现凸显了在生产环境中使用默认或示例配置的持续危险,并强调了持续安全监控和主动修补的必要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
