CISA 要求立即修复 Sitecore 严重漏洞

混淆既是艺术

在发现一个正在被广泛利用的安全漏洞后，联邦民事行政部门 (FCEB) 机构被建议在 2025 年 9 月 25 日之前更新其 Sitecore 实例。

该漏洞的编号为CVE-2025-53690，CVSS 评分为 9.0（满分 10.0），表示严重程度极高。

美国网络安全和基础设施安全局 (CISA)表示：“Sitecore Experience Manager (XM)、Experience Platform (XP)、Experience Commerce (XC) 和 Managed Cloud 存在涉及使用默认机器密钥的不受信任数据反序列化漏洞。 ”

“此漏洞允许攻击者利用暴露的 ASP.NET 机器密钥来实现远程代码执行。”

谷歌旗下的 Mandiant 公司发现了此次主动 ViewState 反序列化攻击，该公司表示，此次攻击活动利用了 Sitecore 2017 年及之前的部署指南中披露的样本机器密钥。威胁情报团队尚未将该攻击活动与已知的威胁行为者或组织联系起来。

审计及其他
研究人员 Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok 和 Choon Kiat Ng表示：“从最初的服务器入侵到权限提升，攻击者对被入侵产品和被利用漏洞的深刻理解显而易见。”

微软于 2025 年 2 月首次记录了公开披露的 ASP.NET 机器密钥的滥用情况，该科技巨头观察到可追溯到 2024 年 12 月的有限利用活动，其中未知威胁行为者利用密钥来交付 Godzilla 后利用框架。

然后在 2025 年 5 月，ConnectWise披露了一个影响 ScreenConnect 的不当身份验证漏洞（CVE-2025-3935，CVSS 评分：8.1），据称该漏洞已被国家威胁行为者在野外利用，针对一小部分客户发起 ViewState 代码注入攻击。

就在 7 月份，被称为 Gold Melody 的初始访问代理 (IAB) 被归咎于一项活动，该活动利用泄露的 ASP.NET 机器密钥获取对组织的未经授权的访问权限，并将该访问权限出售给其他威胁行为者。

在 Mandiant 记录的攻击链中，CVE-2025-53690 被武器化以实现对面向互联网的 Sitecore 实例的初步破坏，从而部署开源和自定义工具的组合以促进侦察、远程访问和 Active Directory 侦察。

使用公开部署指南中指定的示例机器密钥传递的 ViewState 有效载荷是一个名为 WEEPSTEEL 的 .NET 程序集，该程序集能够收集系统、网络和用户信息，并将详细信息泄露给攻击者。该恶意软件借用了名为 ExchangeCmdPy.py 的开源 Python 工具的部分功能。

研究人员发现，攻击者获得访问权限后，会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终窃取数据。以下列出了攻击者在这些阶段使用的一些工具：

EarthWorm使用 SOCKS 进行网络隧道传输
DWAgent用于持久远程访问和 Active Directory 侦察，以识别目标网络中的域控制器
用于 Active Directory 侦察的SharpHound
GoTokenTheft用于列出系统上活动的唯一用户令牌，使用用户令牌执行命令，并列出所有正在运行的进程及其关联的用户令牌
用于横向移动的远程桌面协议（RDP）
我们还观察到威胁行为者创建本地管理员帐户（asp$ 和 sawadmin）来转储 SAM/SYSTEM 配置单元，试图获取管理员凭据访问权限并通过 RDP 进行横向移动。

CIS 构建套件
Mandiant 补充道：“由于管理员帐户遭到入侵，之前创建的 asp$ 和 sawadmin 帐户已被删除，这标志着攻击者将转向更稳定、更隐蔽的访问方法。”

为了应对威胁，建议组织轮换 ASP.NET 机器密钥、锁定配置并扫描其环境以查找受到威胁的迹象。

VulnCheck 安全研究副总裁凯特琳康登 (Caitlin Condon) 向 The Hacker News 表示：“CVE-2025-53690 的结果是，某个地方的有进取心的威胁行为者显然一直在使用产品文档中公开披露的静态 ASP.NET 机器密钥来访问暴露的 Sitecore 实例。”

零日漏洞源于不安全的配置本身（例如使用静态机器密钥）以及公开暴露——正如我们之前多次看到的那样，威胁行为者肯定会阅读文档。即使稍微怀疑自己可能受到影响的防御者也应该立即轮换机器密钥，并尽可能确保其 Sitecore 安装不会暴露在公共互联网上。

watchTowr 主动威胁情报主管 Ryan Dewhurst 表示，该问题是由于 Sitecore 客户从官方文档中复制并粘贴示例密钥，而不是生成唯一的随机密钥造成的。

Dewhurst 补充道：“任何使用这些已知密钥运行的部署都可能受到 ViewState 反序列化攻击，这是直接导致远程代码执行 (RCE) 的途径。”

Sitecore 已确认新部署现已自动生成密钥，并已联系所有受影响的客户。影响范围尚不清楚，但该漏洞具备严重漏洞的所有典型特征。更广泛的影响尚未显现，但迟早会显现。