Sfruttamento attivo della vulnerabilità di configurazione del nucleo di sito non toccata
In una recente indagine sulla sicurezza informatica condotta da Mandiant, è stato identificato il gruppo minaccioso noto come Astra Group come l'organizzazione dietro un attacco che ha sfruttato una vulnerabilità nei server Sitecore, tracciata come CVE-2025-53690.
L'attacco è iniziato con lo sfruttamento di un vecchio esempio di chiave macchina ASP.NET incluso nelle guide di distribuzione di Sitecore XP 9.0 o precedenti. Questa chiave è stata utilizzata anche con Active Directory 1.4, risalente al 2017. Gli attori minacciosi hanno quindi eseguito un attacco di iniezione di codice ViewState, portando a un compromesso completo del server.
Gli attacchi di iniezione di codice ViewState o deserializzazione ViewState non sono nuovi e Microsoft ha già messo in guardia su di essi. In questo caso, gli attaccanti sono riusciti a iniettare un'assembly .NET utilizzando ViewState, che ha concesso loro il privilegio NETWORK SERVICE. Questo è stato seguito dal deployment di strumenti per l'escalation dei privilegi, la creazione di account utente (inclusi gli account amministratori), la configurazione del tunnel di accesso remoto e il dump delle credenziali.
Uno degli strumentideployati era WEEPSTEEL, un'utilità maliziosa simile al backdoor GhostContainer. WEEPSTEEL è stato utilizzato per la raccolta di informazioni e per elevare i privilegi degli attaccanti al livello NETWORK SERVICE. Un altro strumento, SHARPHOUND, è stato deployato per l'analisi dell'Active Directory.
Gli attaccanti hanno anche utilizzato lo strumento di tunneling EARTHWORM per saltare ad altri sistemi sulla rete. Sono riusciti a sfruttare il protocollo RDP per condurre una lateral movement, compromettendo alla fine più sistemi.
I deployment più recenti di Sitecore generano chiavi univoche per ogni installazione. Tuttavia, gli utenti che hanno deployato le loro istanze utilizzando le vecchie guide di deployment e utilizzando le chiavi di esempio dovrebbero ora verificare le loro installazioni in cerca di segni di compromesso. Ciò include le istanze di Sitecore Experience Manager (XM), Experience Platform (XP) e Experience Commerce (XC) deployate in modalità multi-istanza con chiavi macchina statiche gestite dall'utente utilizzando la chiave campione trapelata. Le istanze di Sitecore Managed Cloud Standard con Containers deployate in modalità multi-istanza potrebbero essere interessate.
Oltre allo sfruttamento della CVE-2025-53690, gli attaccanti hanno scaricato strumenti aggiuntivi come 7za.exe, script VBS e strumenti di escalation dei privilegi. Hanno anche deployato strumenti come DWAGENT e GoToken.exe con questi account.
Per mitigare attacchi simili, gli utenti sono
Leggi anche:
- La pioggia ha interrotto il primo incontro di Trump con i leader tecnologici nel Rose Garden, dopo la sua decisione di pavimentare il prato bagnato per ridurre al minimo i potenziali problemi meteorologici.
- L'allarme del CDC indica che l'epidemia di morbillo continua a rappresentare una minaccia
- Innovazione governativa attraverso la tecnologia: trasformazione dell'amministrazione pubblica grazie ai progressi tecnologici
- I lavoratori della vaccinazione affrontano atteggiamenti sospetti e minacce militanti nel loro sforzo di sradicare la poliomielite in Pakistan
