Исследователи безопасности предупредили о начале активных атак с использованием новой уязвимости нулевого дня в продуктах компании Sitecore. Уязвимость, получившая идентификатор CVE-2025-53690, позволяет злоумышленникам выполнять произвольный код на незащищенных серверах путем манипуляций с механизмом ViewState в ASP.NET.
Детали уязвимости
Проблема связана с использованием сэмплового ключа, который содержался в руководствах по развертываению Sitecore, опубликованных в 2017 году и ранее. Если администраторы использовали этот пример ключа вместо генерации уникального, их серверы становились уязвимыми для атак десериализации ViewState. ViewState хранит данные страницы в скрытом поле формы, и если злоумышленник может создать вредоносную нагрузку ViewState, а сервер принимает ее без должной проверки, это приводит к возможности выполнения произвольного кода.
Впервые уязвимость была обнаружена специалистами Mandiant Threat Defense во время реагирования на инцидент. Атакующие отправляли специально сформированные POST-запросы по пути /sitecore/blocked.aspx, что вызывало запись в журнале о сбое проверки ViewState. Используя раскрытый пример ключа, они расшифровывали и модифицировали данные ViewState для внедрения вредоносной программы разведки под названием WEEPSTEEL.
Данное вредоносное ПО собирает сведения о системе и отправляет их обратно в поддельном ответе ViewState. Затем злоумышленники использовали 7-Zip для архивирования критически важных файлов, развертывали туннелирующие инструменты, такие как EARTHWORM, и устанавливали утилиту удаленного доступа DWAGENT для сохранения устойчивого доступа к системе.
Компания Sitecore подтвердила, что затронутыми являются версии Sitecore XP 9.0 и Active Directory 1.4 и более ранние, если они были развернуты с использованием примерного ключа. Обновленные пакеты установки теперь автоматически генерируют уникальный машинный ключ. Администраторам настоятельно рекомендуется ознакомиться с бюллетенем Sitecore SC2025-005 и произвести замену любых машинных ключей, хранящихся в их файлах web.config.
Цепочка атаки включает первоначальную компрометацию через эксплуатацию десериализации ViewState, развертывание WEEPSTEEL для внутренней разведки, архивирование и извлечение файлов web.config и других данных, подготовку туннелирующих инструментов и инструментов удаленного доступа, создание локальных учетных записей администраторов, дамп учетных данных через куки SAM/SYSTEM, перемещение по сети и разведку в Active Directory с помощью SharpHound.
В качестве мер защиты рекомендуется заменить и защитить машинные ключи, избегая использования примерных ключей, включить проверку кода аутентификации сообщений (MAC) для ViewState в настройках ASP.NET, шифровать конфиденциальные значения в web.config, незамедлительно применять последние обновления или исправления Sitecore, а также контролировать исходящий трафик на предмет неожиданных туннелирующих соединений и необычных RDP-сессий.
Организациям, использующим продукты Sitecore, следует провести аудит своих развертываний на предмет использования примерного машинного ключа 2017 года и проверить журналы на наличие событий, указывающих на манипуляции с ViewState. Своевременное применение исправлений и замена ключей позволят устранить этот критический пробел и защититься от продолжающихся атак.
Ссылки
- https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability/
- https://www.cve.org/CVERecord?id=CVE-2025-53690
- https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003865
