美國網路安全暨基礎設施安全局(CISA)要求聯邦行政機構必須在2025年9月25日前更新Sitecore系統。
Sitecore系統遭發現編號為CVE-2025-53690的漏洞,獲得CVSS 9.0分的重大風險評級,影響Sitecore Experience Manager (XM)、Experience Platform (XP)、Experience Commerce (XC)和Managed Cloud等產品。CISA指出,該漏洞為不受信任資料的反序列化問題,特別是使用預設機器金鑰的情況。
Sitecore建構在Microsoft .NET框架上,使用ASP.NET技術,通常部署在Windows Server環境中,搭配SQL Server資料庫。CVE-2025-53690允許攻擊者利用暴露的ASP.NET機器金鑰實現遠端程式碼執行。問題的核心在於攻擊者能夠濫用2017年及更早期Sitecore部署指南中公開的範例機器金鑰,進行ViewState反序列化攻擊 (deserialization attack)。
威脅情報
Google旗下的Mandiant發現了這起攻擊活動,但尚未將其歸因於已知的威脅行為者或組織。研究團隊觀察發現,攻擊者在從初始入侵到權限提升的攻擊流程中,展現出對目標產品和漏洞利用技術的深厚理解。
微軟在2025年2月首次記錄了公開披露ASP.NET機器金鑰的濫用情況。據該公司觀察,此類攻擊活動最早出現在2024年12月,當時未知威脅行為者就已利用這些金鑰部署Godzilla後滲透框架。
類似的攻擊模式在今年持續出現。4月份,Gladinet的CentreStack產品出現類似的零時差漏洞CVE-2025-30406,同樣源於未正確保護的機器金鑰。5月份,
ConnectWise披露了影響ScreenConnect的不當身分驗證漏洞CVE-2025-3935,該漏洞已被國家級威脅行為者利用進行ViewState程式碼注入攻擊。今年7月,資安專家確認初始存取經紀人(IAB)組織Gold Melody發動攻擊活動,利用洩露的ASP.NET機器金鑰來獲取組織的未授權存取權限。
攻擊手法與工具
根據Mandiant的分析,攻擊者首先將CVE-2025-53690武器化來入侵面向網際網路的Sitecore實例,成功入侵後再部署開源和客製化工具組合,執行偵察、遠端存取和Active Directory偵察等後續攻擊行為。
攻擊者使用公開部署指南中指定的範例機器金鑰傳送ViewState載荷,該載荷是一個名為WEEPSTEEL的.NET組件,能夠收集系統、網路和用戶資訊,並將詳細資料回傳給攻擊者。這個惡意軟體借用了開源Python工具ExchangeCmdPy.py的部分功能。
獲得存取權限後,攻擊者建立據點、提升權限、維持持久性、進行內部網路偵察並在網路中橫向移動,最終導致資料竊取。攻擊過程中使用的工具包括用於SOCKS網路隧道的EarthWorm、用於持久遠端存取和Active Directory偵察的DWAgent、用於Active Directory偵察的SharpHound、用於權杖操作的GoTokenTheft,以及用於橫向移動的遠端桌面協定(RDP)。
研究人員也發現威脅行為者會建立本地管理員帳戶(asp$和sawadmin),用於提取SAM/SYSTEM登錄檔以獲取管理員憑證,並透過RDP在網路中進行橫向移動。
VulnCheck安全研究副總裁Caitlin Condon表示,CVE-2025-53690的問題核心在於威脅行為者利用產品文件中公開披露的靜態ASP.NET機器金鑰來存取暴露的Sitecore實例。她指出,這個零時差漏洞源於不安全的配置本身和公開暴露問題,而威脅行為者確實會仔細研讀技術文件。
watchTowr主動威脅情報負責人Ryan Dewhurst指出,問題根源是Sitecore客戶從官方文件中複製貼上範例金鑰,而不是生成唯一的隨機金鑰。任何使用這些已知金鑰運行的部署都會暴露於ViewState反序列化攻擊,直接導致遠端程式碼執行。
防護建議
為了對抗此威脅,組織應立即採取以下措施:
- 輪換機器金鑰:立即更換ASP.NET機器金鑰
- 鎖定配置:加強系統配置安全性
- 環境掃描:檢查環境中是否有入侵跡象
- 網路隔離:確保Sitecore系統不暴露於公共網際網路
Sitecore已確認新更新系統現在會自動生成金鑰,所有受影響的客戶都已被聯繫。
本文轉載自thehackernews。