Se aconseja a las agencias federales de rama ejecutiva civil (FCEB) que actualicen sus instancias de Sitecore para el 25 de septiembre de 2025, luego del descubrimiento de un defecto de seguridad que ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-53690lleva una puntuación CVSS de 9.0 de un mayor de 10.0, lo que indica una agravación crítica.
“Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y la estrato administrada contienen una deserialización de la vulnerabilidad de datos no confiable que implica el uso de claves de máquina predeterminadas”, dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA).
“Este defecto permite a los atacantes explotar las claves de la máquina ASP.NET expuestas para alcanzar la ejecución de código remoto”.
Mandiant, propiedad de Google, que descubrió el ataque de deserialización de ViewState Active, dijo que la actividad aprovechó una esencia de máquina de muestra que había sido expuesta en las guías de implementación de Sitecore de 2017 y anteriormente. El equipo de inteligencia de amenazas no vinculó la actividad con un actor o liga de amenazas conocido.
“La profunda comprensión del atacante del producto comprometido y la vulnerabilidad explotada fue evidente en su progresión desde el compromiso auténtico del servidor hasta la ascenso de privilegios”, dijeron los investigadores Rommel Nuevo, Josh Fleischer, Joseph Sciuto, Andi Slok y Choon Kiat Ng.
El tropelía de las claves de la máquina ASP.NET divulgadas públicamente fue documentado por primera vez por Microsoft en febrero de 2025, con el titán tecnológico observando una actividad de explotación limitada que se remonta a diciembre de 2024, en la que los actores de amenaza desconocidos aprovecharon la esencia para entregar el ámbito de explotación de Godzilla.
Luego, en mayo de 2025, Connectwise divulgó una rotura de autenticación inadecuada que impacta la pantalla de la pantalla (CVE-2025-3935, puntaje CVSS: 8.1) que, según dijo, había sido explotado en la naturaleza por un actor de amenaza de estado doméstico para realizar ataques de inyección de código Viewstate dirigidos a un pequeño conjunto de clientes.
Tan recientemente como julio, el corredor de golpe auténtico (IAB) conocido como Melody Gold se atribuyó a una campaña que explota las claves de la máquina ASP.NET para obtener golpe no competente a las organizaciones y traicionar ese golpe a otros actores de amenazas.
En la dependencia de ataque documentada por Mandiant, CVE-2025-53690 se armó para alcanzar un compromiso auténtico de la instancia de Sitecore orientada a Internet, lo que lleva a la implementación de una combinación de herramientas de código rajado y personalizados para entregar el inspección, el golpe remoto y el inspección de la directorio activo.
La carga útil de ViewState entregada con la esencia de la máquina de muestra especificada en las guías de implementación disponibles públicamente es un ensamblaje de .NET denominado WeepSteel, que es capaz de compendiar el sistema, la red y la información del becario, y exfiltrando los detalles al atacante. El malware toma prestado parte de su funcionalidad de una útil Python de código rajado señal ExchangeCmdpy.py.
Con el golpe obtenido, se ha antagónico que los atacantes establecen un punto de apoyo, aumentan los privilegios, mantienen la persistencia, realizan el inspección interno de la red y se mueven lateralmente a través de la red, lo que finalmente conduce al robo de datos. Algunas de las herramientas utilizadas durante estas fases se enumeran a continuación –
- Gusano de tierra para túneles de red utilizando calcetines
- Dwagent para el golpe remoto persistente y el inspección de Active Directory para identificar controladores de dominio internamente de la red de destino
- Sharphound para el inspección de Active Directory
- Gotokenteft para enumerar los tokens de becario únicos activos en el sistema, ejecutar comandos utilizando los tokens de usuarios y enumerar todos los procesos en ejecución y sus tokens de becario asociados
- Protocolo de escritorio remoto (RDP) para movimiento contiguo
Todavía se ha observado que los actores de la amenaza crean cuentas de administrador locales (ASP $ y Sawadmin) para volcar las colmenas SAM/sistema en un intento por obtener el golpe de las credenciales del administrador y entregar el movimiento contiguo a través de RDP.
“Con las cuentas del administrador comprometidas, se eliminaron las cuentas ASP $ y Sawadmin creadas anteriormente, lo que indica un cambio a métodos de golpe más estables y encubiertos”, agregó Mandiant.
Para contrarrestar la amenaza, se recomienda a las organizaciones rotar las claves de la máquina ASP.NET, rodear las configuraciones y escanear sus entornos para obtener signos de compromiso.
“El resultado de CVE-2025-53690 es que un actor de amenaza emprendedor en algún espacio aparentemente ha estado utilizando una esencia de máquina ASP.NET estática que se divulgó públicamente en los documentos de productos para obtener golpe a instancias de Sitecore expuestas”, Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo a Hacker News.
“La vulnerabilidad del día cero surge tanto de la configuración insegura (es aseverar, el uso de la esencia de la máquina estática) como de la exposición pública, y como hemos conocido muchas veces antaño, los actores de amenaza definitivamente leen documentación. Los defensores que incluso sospechan sutilmente que podrían estar afectados deberían rotar las claves de sus máquinas de inmediato y fijar, siempre que sea posible, que sus instalaciones de sitios no están expuestas a Internet divulgado”.
Ryan Dewhurst, cabecilla de inteligencia de amenazas proactivas en Watchtowr, dijo que el problema es el resultado de que los clientes de Sitecore copen y pegan las claves de ejemplo de la documentación oficial, en espacio de gestar otras únicas y aleatorias.
“Cualquier implementación que se ejecute con estas teclas conocidas se dejó expuesta a los ataques de deserialización de ViewState, una ruta recta directa a la ejecución de código remoto (RCE)”, agregó Dewhurst.
“Sitecore ha confirmado que las nuevas implementaciones ahora generan claves automáticamente y que todos los clientes afectados han sido contactados. El radiodifusión de crisis sigue siendo desconocido, pero este error exhibe todas las características que generalmente definen vulnerabilidades severas. El impacto más amplio aún no ha surgido, pero lo hará”.
