Agentschappen van de Federal Civilian Executive Branch (FCEB) worden geadviseerd om hun Sitecore -instanties op 25 september 2025 bij te werken, na de ontdekking van een beveiligingsfout die in het wild onder actieve uitbuiting is gekomen.
De kwetsbaarheid, gevolgd als CVE-2025-53690draagt een CVSS -score van 9,0 van een maximum van 10,0, wat duidt op kritieke ernst.
“Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) en Managed Cloud bevatten een deserialisatie van niet -vertrouwde gegevenskwekbaarheid met betrekking tot het gebruik van standaard machinetoetsen,” zei de Amerikaanse cybersecurity en infrastructuurbeveiligingsbureau (CISA).
“Deze fout stelt aanvallers in staat om blootgestelde ASP.NET -machinetoetsen te exploiteren om externe code -uitvoering te bereiken.”
Google-eigendom Mandiant, die de Active Viewstate Deserialisation Attack ontdekte, zei dat de activiteit een monstermachinesleutel maakte die was blootgesteld in Sitecore-implementatiegidsen vanaf 2017 en eerder. Het bedreigingsinformatie -team heeft de activiteit niet gekoppeld aan een bekende dreigingsacteur of groep.
“Het diepe begrip van de aanvaller van het gecompromitteerde product en de uitgebuite kwetsbaarheid was duidelijk in hun progressie van het initiële servercompromis tot escalatie voor privileges,” zei onderzoekers Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok, en Choon Kiat Ng.
Het misbruik van publiekelijk bekendgemaakte ASP.NET-machinetoetsen werd voor het eerst gedocumenteerd door Microsoft in februari 2025, waarbij de tech-gigant beperkte exploitatieactiviteit die dateert uit december 2024, waarin onbekende dreigingsactoren de sleutel gebruikten om het Godzilla na het uitbreiden na het expution te leveren.
Vervolgens onthulde Connectwise in mei 2025 een onjuiste authenticatie-fout die van invloed is op screenconnect (CVE-2025-3935, CVSS-score: 8.1) waarvan het zei dat het in het wild in het wild was geëxploiteerd door een natiestaatbedreigingsacteur om viewstate code-injectie-injectie-aanvallen uit te voeren gericht op een kleine set van klanten.
Al in juli werd de initiële toegangsmakelaar (IAB) bekend als Gold Melody toegeschreven aan een campagne die exploiteert, lekte ASP.NET -machinetoetsen om ongeautoriseerde toegang tot organisaties te verkrijgen en die toegang tot andere dreigingsactoren te verkopen.
In de aanvalsketen gedocumenteerd door Mandiant wordt CVE-2025-53690 bewapend om het eerste compromis van de internetgerichte Sitecore-instantie te bereiken, wat leidt tot de inzet van een combinatie van open-source en aangepaste tools om verkennings-, externe toegang en actieve directory-verkenning te vergemakkelijken.
De ViewState -lading die wordt geleverd met behulp van de Sample Machine -sleutel die is opgegeven in openbaar beschikbare implementatiegidsen is een .NET -assemblage genaamd Weepsteel, dat in staat is om systeem-, netwerk- en gebruikersinformatie te verzamelen en de details terug te brengen naar de aanvaller. De malware leent een deel van zijn functionaliteit van een open-source python-tool genaamd ExchangeCmdpy.py.
Met de verkregen toegang, zijn de aanvallers gevonden om voet aan de grond te stellen, escalerende privileges te escaleren, persistentie te behouden, interne netwerkverkenning uit te voeren en lateraal over het netwerk te gaan, wat uiteindelijk leidt tot gegevensdiefstal. Sommige van de hulpmiddelen die tijdens deze fasen worden gebruikt, worden hieronder vermeld –
- Aardworm voor netwerktunneling met behulp van sokken
- Dwagent voor persistente externe toegang en Active Directory Reconnaissance om domeincontrollers in het doelnetwerk te identificeren
- Sharfound voor Active Directory Reconnaissance
- GotokentHeft voor het vermelden van unieke gebruikerstokens die actief zijn op het systeem, het uitvoeren van opdrachten met behulp van de tokens van gebruikers en het vermelden van alle lopende processen en hun bijbehorende gebruiker tokens
- Remote Desktop Protocol (RDP) voor laterale beweging
De dreigingsactoren zijn ook waargenomen op het maken van lokale beheerdersaccounts (ASP $ en SAWADMIN) om SAM/System -bijenkorven te dumpen in een poging om beheerdersreferenties toegang te krijgen en laterale beweging via RDP te vergemakkelijken.
“Met het gecompromitteerde beheerdersaccounts werden de eerder gemaakte ASP $ en Sawadmin -accounts verwijderd, wat een verschuiving aangeeft naar stabielere en geheime toegangsmethoden,” voegde Mandiant eraan toe.
Om de dreiging tegen te gaan, worden organisaties aanbevolen om de ASP.NET -machinetoetsen te roteren, configuraties te vergrendelen en hun omgevingen te scannen op tekenen van compromis.
“Het resultaat van CVE-2025-53690 is dat een ondernemende dreigingsacteur ergens ergens een statische ASP.NET-machine-sleutel heeft gebruikt die publiekelijk werd bekendgemaakt in productdocumenten om toegang te krijgen tot blootgestelde Sitecore-instanties,” vertelde Caitlin Condon, VP van beveiligingsonderzoek bij Vulncheck, het hackersnieuws.
“De nul-daagse kwetsbaarheid komt voort uit zowel de onzekere configuratie zelf (dat wil zeggen het gebruik van de statische machine-sleutel) en de publieke blootstelling-en zoals we al eerder eerder hebben gezien, lezen bedreigingsactoren zeker documentatie. Verdedigers die zelfs enigszins vermoeden dat ze kunnen worden getroffen, moeten hun machinetoetsen onmiddellijk roteren en zorgen voor, waar mogelijk, dat hun Sitecore-installaties niet worden blootgesteld aan het openbare internet.”
Ryan Dewhurst, hoofd van proactieve bedreigingsinformatie bij Watchtowr, zei dat het probleem het resultaat is van het kopiëren en plakken van Sitecore -klanten die voorbeeldsleutels kopiëren en plakken van officiële documentatie, in plaats van unieke, willekeurige, willekeurige te genereren.
“Elke implementatie met deze bekende toetsen werd blootgelegd aan Viewstate Deserialisation Attacks, een recht pad rechts naar externe code -uitvoering (RCE),” voegde Dewhurst eraan toe.
“Sitecore heeft bevestigd dat nieuwe implementaties nu automatisch toetsen genereren en dat alle getroffen klanten zijn gecontacteerd. De explosie -straal blijft onbekend, maar deze bug vertoont alle kenmerken die doorgaans ernstige kwetsbaarheden definiëren. De bredere impact is nog niet opgedoken, maar dat zal het ook doen.”
