Esplorazione attiva della vulnerabilità di configurazione zero-day in Sitecore
In un'incidente di sicurezza informatica recente, gli attaccanti hanno sfruttato una vulnerabilità nei sistemi Sitecore, specificamente in Sitecore Experience Manager (XM), Experience Platform (XP) e Experience Commerce (XC). Questa vulnerabilità, identificata come CVE-2025-53690, è stata utilizzata per ottenere l'accesso non autorizzato e causare potenziali danni.
Gli attaccanti hanno inizialmente utilizzato una tecnica chiamata ViewState code injection, un metodo in ASP.NET per preservare lo stato della pagina web tra i post, dove le chiavi (machineKey e validationKey) sono archiviate nel file di configurazione dell'applicazione. Hanno sfruttato una chiave ASP.NET machine di esempio trovata in vecchie guide di distribuzione dei prodotti Sitecore per iniettare un'assembly .NET chiamato WEEPSTEEL attraverso ViewState.
WEEPSTEEL, simile al backdoor GhostContainer, è stato utilizzato per raccogliere informazioni e concedere agli attaccanti il privilegio NETWORK SERVICE. In seguito, gli attaccanti hanno utilizzato questo aumento di privilegi per creare nuovi account amministrativi chiamati SYSTEM_DR e DOMAIN_DR.
Dopo l'esploit iniziale, gli attaccanti hanno deployato strumenti per aumentare i privilegi, aggiungere nuovi utenti (compresi gli amministratori), stabilire tunnel di accesso remoto e scaricare le credenziali. Hanno scaricato i registri SYSTEM e SAM per estrarre gli hash delle password di tutti gli utenti locali.
Gli attaccanti hanno utilizzato anche strumenti come 7za.exe, EARTHWORM, script VBS, strumenti di aumento dei privilegi, DWAGENT e GoToken.exe. È stato deployato anche lo strumento di tunneling EARTHWORM sui sistemi interessati.
Per esfiltrarre informazioni sensibili, gli attaccanti hanno utilizzato WEEPSTEEL. Hanno anche utilizzato le credenziali degli account che avevano raccolto per accedere ad altri sistemi sulla rete tramite RDP.
Microsoft aveva già avvertito in dicembre circa gli attacchi in corso che sfruttavano questa tecnica e aveva identificato oltre 3.000 chiavi machine rese pubbliche. Questo incidente serve come promemoria per gli utenti che hannoployato le loro istanze utilizzando le vecchie guide di distribuzione e hanno utilizzato le chiavi di esempio per verificare le loro installazioni alla ricerca di segni di compromissione.
Per mitigare questo rischio, gli utenti sono invitati a ruotare le chiavi machine, crittografare gli elementi nei file di configurazione e seguire le linee guida sulla sicurezza di ASP.NET ViewState per la rotazione automatica delle chiavi. È anche consigliabile monitorare i log per gli indicatori di distruzione legati alla CVE-2025-53690, come l'utilizzo della chiave di esempio esplicitamente menzionata nei log.
Sitecore Managed Cloud Standard con Containers deployati in modalità multiistanza potrebbe essere interessato. Pertanto, è fondamentale che gli utenti rimangano vigili e implementino le misure di sicurezza necessarie per proteggere i loro sistemi.
Leggi anche:
- "Masterizzare l'arte di mescolare il suono è quasi uguale all'importanza di ideare il tuo concetto musicale iniziale: guida per principianti nel mixaggio musicale"
- Espansione della presenza militare della Cina nella regione del Pacifico sudoccidentale e dell'Oceania
- Polk annuncia la sua partnership con il Lab 2.0 dopo la vendita di Upswing Poker a Club WPT Gold.
- Le principali nazioni africane progettano standard urbani puliti per il 2025
