鉴于一款 Sitecore 安全漏洞已被实际利用,美国联邦民事行政部门(FCEB)机构被建议在 2025 年 9 月 25 日前更新其 Sitecore 实例。
该漏洞编号为 CVE-2025-53690,CVSS 评分为 9.0(满分 10.0),属于高危级别。
美国网络安全与基础设施安全局(CISA)表示:“Sitecore 体验管理器(XM)、体验平台(XP)、体验商务系统(XC)及托管云服务中存在‘不可信数据反序列化’漏洞,该漏洞与默认机器密钥的使用相关。此漏洞可让攻击者利用暴露的ASP.NET机器密钥实现远程代码执行。”
谷歌旗下的 Mandiant 公司发现了这起活跃的 ViewState 反序列化攻击,该公司指出,攻击者利用的是 2017 年及更早版本的 Sitecore 部署指南中公开的示例机器密钥。不过,Mandiant 的威胁情报团队尚未将该攻击活动与已知威胁行为者或团伙关联起来。
研究人员罗梅尔・乔文(Rommel Joven)、乔希・弗莱舍(Josh Fleischer)、约瑟夫・斯丘托(Joseph Sciuto)、安迪・斯洛克(Andi Slok)及黄俊杰(Choon Kiat Ng,音译)表示:“从初始服务器攻陷到权限提升的过程中,不难看出攻击者对受影响产品及所利用漏洞有着深入的了解。”
微软曾在 2025 年 2 月首次记录 “公开披露的ASP.NET机器密钥被滥用” 的情况,该科技巨头发现,早在 2024 年 12 月就已出现有限的漏洞利用活动 —— 不明威胁行为者利用这些密钥部署 “哥斯拉”(Godzilla)后渗透框架。
随后在 2025 年 5 月,ConnectWise 公司披露了其 ScreenConnect 产品存在的 “身份验证不当” 漏洞(CVE-2025-3935,CVSS 评分为 8.1),并称某国家级威胁行为者已在实际场景中利用该漏洞,针对少量客户发起 ViewState 代码注入攻击。
就在最近的 7 月,名为 “金旋律”(Gold Melody)的初始访问中介(IAB)被指发起了一场攻击活动:该团伙利用泄露的ASP.NET机器密钥非法获取企业访问权限,并将这些权限出售给其他威胁行为者。
在 Mandiant 记录的攻击链中,攻击者将 CVE-2025-53690 武器化,以初步攻陷面向互联网的 Sitecore 实例,随后部署开源工具与定制工具的组合,为侦察、远程访问及 Active Directory(活动目录)侦察提供便利。
攻击者利用公开部署指南中指定的示例机器密钥交付 ViewState 载荷,该载荷是一个名为 WEEPSTEEL 的.NET 程序集,能够收集系统、网络及用户信息,并将这些信息窃取后回传给攻击者。该恶意软件的部分功能借鉴自一款名为 ExchangeCmdPy.py 的开源 Python 工具。
研究发现,攻击者获取访问权限后,会建立立足点、提升权限、维持持久化控制、开展内部网络侦察、在网络中横向移动,最终实现数据窃取。以下是攻击者在这些阶段使用的部分工具:
- EarthWorm(地球蠕虫):利用 SOCKS 协议实现网络隧道;
- DWAgent:用于持久化远程访问及 Active Directory 侦察,以识别目标网络中的域控制器;
- SharpHound:用于 Active Directory 侦察;
- GoTokenTheft:用于列出系统中活跃的唯一用户令牌、利用用户令牌执行命令,以及列出所有运行中的进程及其关联的用户令牌;
- 远程桌面协议(RDP):用于横向移动。
此外,研究人员还观察到,威胁行为者会创建本地管理员账户(账户名分别为 asp$ 和 sawadmin),以 dump(转储)SAM/SYSTEM 注册表 hive 文件,试图获取管理员凭证,进而通过 RDP 实现横向移动。
Mandiant 补充道:“一旦管理员账户被攻陷,攻击者会删除此前创建的 asp$ 和 sawadmin 账户,这表明他们开始转向更稳定、更隐蔽的访问方式。”
为应对该威胁,建议各企业采取以下措施:轮换ASP.NET机器密钥、锁定相关配置,并扫描自身环境以排查是否存在被攻陷的痕迹。
VulnCheck 公司安全研究副总裁凯特琳・康登(Caitlin Condon)向《黑客新闻》(The Hacker News)表示:“CVE-2025-53690 漏洞的关键问题在于,某处的‘有心’威胁行为者显然一直在利用产品文档中公开的静态ASP.NET机器密钥,获取暴露在外的 Sitecore 实例的访问权限。这个零日漏洞的成因有两点:一是不安全的配置本身(即使用静态机器密钥),二是密钥被公开披露 —— 而且正如我们多次所见,威胁行为者肯定会阅读产品文档。哪怕只是怀疑自己可能受影响的防御人员,都应立即轮换机器密钥,并尽可能确保其 Sitecore 部署不暴露在公共互联网中。”
watchTowr 公司主动威胁情报负责人瑞安・杜赫斯特(Ryan Dewhurst)指出,该问题源于 Sitecore 客户从官方文档中复制粘贴示例密钥,而非生成唯一的随机密钥。
杜赫斯特补充道:“所有使用这些已知密钥的部署,都面临 ViewState 反序列化攻击的风险,而这类攻击是直接实现远程代码执行(RCE)的捷径。Sitecore 已确认,新部署现在会自动生成密钥,且所有受影响客户均已收到通知。目前该漏洞的影响范围尚不清楚,但它具备典型严重漏洞的所有特征。其更广泛的影响尚未显现,但必然会出现。”
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
