Se aconseja a las agencias federales de rama ejecutiva civil (FCEB) que actualicen sus instancias de Sitecore para el 25 de septiembre de 2025, luego del descubrimiento de un defecto de seguridad que ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-53690lleva una puntuación CVSS de 9.0 de un mayor de 10.0, lo que indica una agravación crítica.
«Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y la nubarrón administrada contienen una deserialización de la vulnerabilidad de datos no confiable que implica el uso de claves de máquina predeterminadas», dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA).
«Este defecto permite a los atacantes explotar las claves de la máquina ASP.NET expuestas para conquistar la ejecución de código remoto».
Mandiant, propiedad de Google, que descubrió el ataque de deserialización de ViewState Active, dijo que la actividad aprovechó una esencia de máquina de muestra que había sido expuesta en las guías de implementación de Sitecore de 2017 y anteriormente. El equipo de inteligencia de amenazas no vinculó la actividad con un actor o montón de amenazas conocido.
«La profunda comprensión del atacante del producto comprometido y la vulnerabilidad explotada fue evidente en su progresión desde el compromiso auténtico del servidor hasta la subida de privilegios», dijeron los investigadores Rommel Chavea, Josh Fleischer, Joseph Sciuto, Andi Slok y Choon Kiat Ng.
El exageración de las claves de la máquina ASP.NET divulgadas públicamente fue documentado por primera vez por Microsoft en febrero de 2025, con el coloso tecnológico observando una actividad de explotación limitada que se remonta a diciembre de 2024, en la que los actores de amenaza desconocidos aprovecharon la esencia para entregar el situación de explotación de Godzilla.
Luego, en mayo de 2025, Connectwise divulgó una rotura de autenticación inadecuada que impacta la pantalla de la pantalla (CVE-2025-3935, puntaje CVSS: 8.1) que, según dijo, había sido explotado en la naturaleza por un actor de amenaza de estado franquista para realizar ataques de inyección de código Viewstate dirigidos a un pequeño conjunto de clientes.
Tan recientemente como julio, el corredor de comunicación auténtico (IAB) conocido como Melody Gold se atribuyó a una campaña que explota las claves de la máquina ASP.NET para obtener comunicación no competente a las organizaciones y entregar ese comunicación a otros actores de amenazas.
En la condena de ataque documentada por Mandiant, CVE-2025-53690 se armó para conquistar un compromiso auténtico de la instancia de Sitecore orientada a Internet, lo que lleva a la implementación de una combinación de herramientas de código rajado y personalizados para entregar el agradecimiento, el comunicación remoto y el agradecimiento de la directorio activo.
La carga útil de ViewState entregada con la esencia de la máquina de muestra especificada en las guías de implementación disponibles públicamente es un ensamblaje de .NET denominado WeepSteel, que es capaz de compilar el sistema, la red y la información del favorecido, y exfiltrando los detalles al atacante. El malware toma prestado parte de su funcionalidad de una útil Python de código rajado citación ExchangeCmdpy.py.
Con el comunicación obtenido, se ha contrario que los atacantes establecen un punto de apoyo, aumentan los privilegios, mantienen la persistencia, realizan el agradecimiento interno de la red y se mueven lateralmente a través de la red, lo que finalmente conduce al robo de datos. Algunas de las herramientas utilizadas durante estas fases se enumeran a continuación –
- Gusano de tierra para túneles de red utilizando calcetines
- Dwagent para el comunicación remoto persistente y el agradecimiento de Active Directory para identificar controladores de dominio internamente de la red de destino
- Sharphound para el agradecimiento de Active Directory
- Gotokenteft para enumerar los tokens de favorecido únicos activos en el sistema, ejecutar comandos utilizando los tokens de usuarios y enumerar todos los procesos en ejecución y sus tokens de favorecido asociados
- Protocolo de escritorio remoto (RDP) para movimiento supletorio
Todavía se ha observado que los actores de la amenaza crean cuentas de administrador locales (ASP $ y Sawadmin) para volcar las colmenas SAM/sistema en un intento por obtener el comunicación de las credenciales del administrador y entregar el movimiento supletorio a través de RDP.
«Con las cuentas del administrador comprometidas, se eliminaron las cuentas ASP $ y Sawadmin creadas anteriormente, lo que indica un cambio a métodos de comunicación más estables y encubiertos», agregó Mandiant.
Para contrarrestar la amenaza, se recomienda a las organizaciones rotar las claves de la máquina ASP.NET, incomunicar las configuraciones y escanear sus entornos para obtener signos de compromiso.
«El resultado de CVE-2025-53690 es que un actor de amenaza emprendedor en algún ocupación aparentemente ha estado utilizando una esencia de máquina ASP.NET estática que se divulgó públicamente en los documentos de productos para obtener comunicación a instancias de Sitecore expuestas», Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo a Hacker News.
«La vulnerabilidad del día cero surge tanto de la configuración insegura (es sostener, el uso de la esencia de la máquina estática) como de la exposición pública, y como hemos manido muchas veces antiguamente, los actores de amenaza definitivamente leen documentación. Los defensores que incluso sospechan levemente que podrían estar afectados deberían rotar las claves de sus máquinas de inmediato y afianzar, siempre que sea posible, que sus instalaciones de sitios no están expuestas a Internet manifiesto».
Ryan Dewhurst, presidente de inteligencia de amenazas proactivas en Watchtowr, dijo que el problema es el resultado de que los clientes de Sitecore copen y pegan las claves de ejemplo de la documentación oficial, en ocupación de difundir otras únicas y aleatorias.
«Cualquier implementación que se ejecute con estas teclas conocidas se dejó expuesta a los ataques de deserialización de ViewState, una ruta recta directa a la ejecución de código remoto (RCE)», agregó Dewhurst.
«Sitecore ha confirmado que las nuevas implementaciones ahora generan claves automáticamente y que todos los clientes afectados han sido contactados. El radiodifusión de crisis sigue siendo desconocido, pero este error exhibe todas las características que generalmente definen vulnerabilidades severas. El impacto más amplio aún no ha surgido, pero lo hará».
