Se aconseja a las agencias de la rama ejecutiva civil federal (FCEB) que actualicen sus instancias de Sitecore antes del 25 de septiembre de 2025, luego del descubrimiento de un falla de seguridad Eso ha sido bajo una explotación activa en la naturaleza.
El vulnerabilidadrastreado como CVE-2025-53690lleva una puntuación CVSS de 9.0 de un máximo de 10.0, lo que indica una gravedad crítica.
«Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y la nube administrada contienen una deserialización de la vulnerabilidad de datos no confiable que implica el uso de claves de máquina predeterminadas», la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) (CISA) dicho.
«Este defecto permite a los atacantes explotar las claves de la máquina ASP.NET expuestas para lograr la ejecución de código remoto».
Mandiant, propiedad de Google, que descubrió el ataque de deserialización de ViewState Active, dijo que la actividad aprovechó una clave de máquina de muestra que había sido expuesta en las guías de implementación de Sitecore de 2017 y anteriormente. El equipo de inteligencia de amenazas no vinculó la actividad con un actor o grupo de amenazas conocido.
«La comprensión profunda del atacante del producto comprometido y la vulnerabilidad explotada fue evidente en su progresión desde el compromiso del servidor inicial hasta la escalada de privilegios», los investigadores Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok y Choon Kiat Ng Ng dicho.
El abuso de las claves de la máquina ASP.NET divulgadas públicamente fue Primero documentado por Microsoft en febrero de 2025, con el gigante tecnológico observando una actividad de explotación limitada que se remonta a diciembre de 2024, en la que los actores de amenaza desconocidos aprovecharon la clave para entregar el marco de Godzilla después de la explotación.
Luego, en mayo de 2025, connectwise revelado Un defecto de autenticación inadecuado que afecta la pantalla de la pantalla (CVE-2025-3935, CVSS Puntuación: 8.1) que, según dijo, había sido explotado en la naturaleza por un actor de amenaza de estado-nación para realizar ataques de inyección de código Viewstate dirigidos a un pequeño conjunto de clientes.
Tan recientemente como julio, el corredor de acceso inicial (IAB) conocido como melodía de oro fue atribuido a una campaña que explota las llaves de la máquina ASP.NET para obtener acceso no autorizado a las organizaciones y vender ese acceso a otros actores de amenazas.
En la cadena de ataque documentada por Mandiant, CVE-2025-53690 se armó para lograr un compromiso inicial de la instancia de Sitecore orientada a Internet, lo que lleva a la implementación de una combinación de herramientas de código abierto y personalizados para facilitar el reconocimiento, el acceso remoto y el reconocimiento de la directorio activo.
La carga útil de ViewState entregada con la clave de la máquina de muestra especificada en las guías de implementación disponibles públicamente es un ensamblaje de .NET denominado WeepSteel, que es capaz de recopilar el sistema, la red y la información del usuario, y exfiltrando los detalles al atacante. El malware toma prestado parte de su funcionalidad de una herramienta Python de código abierto llamada ExchangeCmdpy.py.
Con el acceso obtenido, se ha encontrado que los atacantes establecen un punto de apoyo, aumentan los privilegios, mantienen la persistencia, realizan el reconocimiento interno de la red y se mueven lateralmente a través de la red, lo que finalmente conduce al robo de datos. Algunas de las herramientas utilizadas durante estas fases se enumeran a continuación –
- Lombriz para túneles de red utilizando calcetines
- Dwagente Para el acceso remoto persistente y el reconocimiento de Active Directory para identificar controladores de dominio dentro de la red de destino
- Sharphound para el reconocimiento de Active Directory
- GOTOKENTEFT Para enumerar los tokens de usuario únicos activos en el sistema, ejecutar comandos utilizando los tokens de usuarios y enumerar todos los procesos en ejecución y sus tokens de usuario asociados
- Protocolo de escritorio remoto (RDP) para movimiento lateral
También se ha observado que los actores de la amenaza crean cuentas de administrador locales (ASP $ y Sawadmin) para volcar las colmenas SAM/sistema en un intento por obtener el acceso de las credenciales del administrador y facilitar el movimiento lateral a través de RDP.
«Con las cuentas del administrador comprometidas, se eliminaron las cuentas ASP $ y Sawadmin creadas anteriormente, lo que indica un cambio a métodos de acceso más estables y encubiertos», agregó Mandiant.
Para contrarrestar la amenaza, se recomienda a las organizaciones rotar las claves de la máquina ASP.NET, bloquear las configuraciones y escanear sus entornos para obtener signos de compromiso.
«El resultado de CVE-2025-53690 es que un actor de amenaza emprendedor en algún lugar aparentemente ha estado utilizando una clave de máquina ASP.NET estática que se divulgó públicamente en los documentos de productos para obtener acceso a instancias de Sitecore expuestas», Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo a Hacker News.
«La vulnerabilidad del día cero surge tanto de la configuración insegura (es decir, el uso de la clave de la máquina estática) como de la exposición pública, y como hemos visto muchas veces antes, los actores de amenaza definitivamente leen documentación. Los defensores que incluso sospechan ligeramente que podrían estar afectados deberían rotar las claves de sus máquinas de inmediato y asegurar, siempre que sea posible, que sus instalaciones de sitios no están expuestas a Internet público».
Ryan Dewhurst, jefe de inteligencia de amenazas proactivas en Watchtowr, dijo que el problema es el resultado de que los clientes de Sitecore copen y pegan las claves de ejemplo de la documentación oficial, en lugar de generar otras únicas y aleatorias.
«Cualquier implementación que se ejecute con estas teclas conocidas se dejó expuesta a los ataques de deserialización de ViewState, una ruta recta directa a la ejecución de código remoto (RCE)», agregó Dewhurst.
«Sitecore ha confirmado que las nuevas implementaciones ahora generan claves automáticamente y que todos los clientes afectados han sido contactados. El radio de explosión sigue siendo desconocido, pero este error exhibe todas las características que generalmente definen vulnerabilidades severas. El impacto más amplio aún no ha surgido, pero lo hará».
Fuente