导语:需要明确的是,该漏洞并非ASP.NET本身的问题,而是因复用公开文档中,本不应用于生产环境的密钥所导致的配置错误漏洞。
安全研究人员发现,攻击者近期正利用Sitecore遗留中的一个零日漏洞,部署名为WeepSteel的侦察恶意软件。
该漏洞编号为CVE-2025-53690,是一种ViewState反序列化漏洞,其成因是2017年前的Sitecore官方指南中包含了一个ASP.NET机器密钥示例。部分客户在生产环境中复用了该密钥,这使得掌握该密钥的攻击者能够构造有效的恶意“_VIEWSTATE”有效载荷,对这些载荷进行反序列化并执行,最终导致远程代码执行(RCE)。
需要明确的是,该漏洞并非ASP.NET本身的问题,而是因复用公开文档中,本不应用于生产环境的密钥所导致的配置错误漏洞。
漏洞利用活动详情
Mandiant研究人员在野外发现了相关恶意活动,他们报告称,攻击者正利用该漏洞实施多阶段攻击。具体流程如下:
1. 初始入侵:攻击者瞄准“/sitecore/blocked.aspx”端点(该端点包含无需身份验证的ViewState字段),借助CVE-2025-53690漏洞,以IIS网络服务(NETWORK SERVICE)账户权限实现远程代码执行。
2. 植入侦察工具:攻击者投放的恶意有效载荷为WeepSteel——这是一款侦察型后门程序,可收集系统、进程、磁盘及网络信息,并将数据窃取行为伪装成标准的ViewState响应。
WeepSteel的信息收集
Mandiant观察到,攻击者在被攻陷环境中执行了多项侦察命令,包括whoami(查看当前用户)、hostname(查看主机名)、tasklist(查看进程列表)、ipconfig /all(查看网络配置)以及netstat -ano(查看网络连接)。
3. 部署后续工具:在攻击的下一阶段,黑客部署了Earthworm(网络隧道与反向SOCKS代理工具)、Dwagent(远程访问工具)以及7-Zip(用于将窃取的数据压缩归档)。
4. 权限提升与持久化:随后,攻击者通过创建本地管理员账户(如“asp$”“sawadmin”)、转储缓存凭证(SAM与SYSTEM注册表 hive)、借助GoTokenTheft工具尝试令牌伪造等方式提升权限;并通过禁用这些账户的密码过期功能、授予远程桌面(RDP)访问权限、将Dwagent注册为系统(SYSTEM)服务等手段,实现持久化控制。
攻击生命周期
针对CVE-2025-53690漏洞建议
CVE-2025-53690漏洞影响Sitecore Experience Manager(XM)、Experience Platform(XP)、Experience Commerce(XC)及Managed Cloud产品,且仅当这些产品(最高版本9.0)使用2017年前文档中包含的ASP.NET机器密钥示例进行部署时才会受影响。
XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search及Commerce Server等产品不受此漏洞影响。
Sitecore已协同Mandiant的报告发布安全公告,警示使用静态机器密钥的多实例部署同样面临风险。针对可能受影响的管理员,建议采取以下措施:
1. 立即将web.config中所有静态值替换为新的唯一密钥;
2. 确保web.config中的元素已加密;
3. 作为常规安全措施,建议定期轮换静态机器密钥。
文章翻译自:https://www.bleepingcomputer.com/news/security/hackers-exploited-sitecore-zero-day-flaw-to-deploy-backdoors/如若转载,请注明原文地址
