Se aconseja a la Agencia Federal de División de Control Civil (FCEB) que actualice sus instancias de Sitecore para el 25 de septiembre de 2025.
La vulnerabilidad rastreada como CVE-2025-53690 presenta una puntuación CVSS de hasta 9.0 de 10.0, lo que indica una gravedad crítica.
«Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y la nube administrada contienen desiralización de vulnerabilidades de datos no confiables, incluido el uso de claves de máquina predeterminadas», dice la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA).
«Este defecto permite a los atacantes explotar las claves de la máquina ASP.NET expuestas para habilitar la ejecución del código remoto».
Mandiant, propiedad de Google, descubrió el ataque activo de estrellas de estrellas Viewstate, dijo que la actividad utilizó claves de la máquina de muestras publicadas en la Guía de implementación de Sitecore desde antes de 2017. El equipo de inteligencia de amenazas no vinculó las actividades con actores o grupos de amenazas conocidos.
«La profunda comprensión de los atacantes de los productos comprometidos y las vulnerabilidades explotadas fue evidente en la progresión desde el compromiso del servidor temprano hasta la escalada de privilegios», dijeron los investigadores Rommel Joven, Josh Fleischer, Joseph Seit, Andy Sloak y Chong Kiat Nag.
Microsoft publicó por primera vez el abuso de teclas ASP.NET de ASP.NET publicado en febrero en febrero de 2025, con el gigante tecnológico observando actividades de explotación limitadas que se remontan a diciembre de 2024.
Posteriormente, en mayo de 2025, Connectwise reveló una falla de autenticación inapropiada que afecta a Screenconnect (CVE-2025-3935, puntaje CVSS: 8.1).
Al igual que julio, el primer corredor de acceso (IAB), conocido como Melody Gold, se atribuyó a una campaña que filtró las claves ASP.NET para obtener acceso no autorizado a las organizaciones y vendió otro acceso de amenazas.
En la cadena de ataque documentada por Mandiant, CVE-2025-53690 se armará para permitir compromisos iniciales para instancias de Sitecore para Internet, facilitando la implementación de una combinación de código abierto y herramientas personalizadas, acceso remoto y reconocimiento de activo directorio.
La carga útil de ViewState, entregada con la clave de la máquina de muestra especificada en la guía de implementación publicada, es un ensamblaje de .NET llamado WeepSteel que puede recopilar información del sistema, la red y el usuario y devolver los detalles al atacante. El malware toma prestado parte de su funcionalidad de una herramienta Python de código abierto llamada ExchangecMdpy.py.
Una vez que se obtuvo el acceso, el atacante descubrió que establecería un punto de apoyo, aumentaría los privilegios, mantendría la persistencia, llevaría a cabo el reconocimiento interno de la red, se movería lateralmente a través de la red, lo que finalmente conduce al robo de datos. Algunas de las herramientas utilizadas en estas fases se enumeran a continuación –
Controlador Active Directory Para el acceso remoto persistente y el Active Directory Recon para los calcetines para los caballeros de la Tierra en los túneles de red, identifica controladores de dominio en la red de destino para Active Directory Recon, enumera tokens de usuario únicos en el sistema, ejecuta comandos utilizando los tokens del usuario, enumera a todos los usuarios ejecutados y los usuarios relacionados con los usuarios relacionados remotos remotos.
También se ha observado que los actores de amenaza crean cuentas de administrador local (ASP $ y Sawadmin) para obtener acceso a las credenciales de administrador y descartar las colmenas SAM/sistema para promover el movimiento lateral a través de RDP.
«A medida que se comprometió la cuenta de administración, se eliminaron las cuentas ASP $ y Sawadmin creadas previamente, lo que indica un cambio hacia una forma de acceso más estable y segura», agregó Mandiant.
Para combatir la amenaza, las organizaciones recomiendan rotar la tecla ASP.NET Machine, bloquear la configuración y escanear el entorno para obtener signos de compromiso.
«El resultado de CVE-2025-53690 es que en algún lugar un actor de amenaza emprendedora está utilizando una clave de máquina ASP.NET estática publicada en la documentación del producto.
«La vulnerabilidad del día cero surge tanto de la configuración inestable (es decir, el uso de claves en máquinas estáticas) como de la exposición pública. Por lo que los actores de amenaza definitivamente pueden leer la documentación, los defensores que probablemente se vean afectados deben rotar rápidamente las claves de la máquina y garantizar, siempre que sea posible, que las instalaciones de Sitecore no estén disponibles públicamente».
Ryan Dewhurst, jefe de inteligencia de amenazas agresivas en Watchtowr, dijo que el problema fue el resultado de que los clientes de Sitecore copiaran y pegar claves de documentos oficiales en lugar de generar algo único y aleatorio.
«Las implementaciones que se ejecutan usando estas claves conocidas permanecieron expuestas a los ataques de visualización, una ruta directa a la ejecución de código remoto (RCE)», agregó Dewhurst.
«Sitecore ha confirmado que las nuevas implementaciones generan automáticamente las claves y contactan a todos los clientes afectados. El radio de explosión sigue siendo desconocido, pero este error generalmente muestra todas las características que definen una vulnerabilidad grave.
Source link
