Фахівці Mandiant виявили, що зловмисники активно експлуатували нульову вразливість CVE-2025-53690 у старих розгортаннях Sitecore, використовуючи її для розгортання бекдорів і збору даних через шкідливе ПЗ WeepSteel.
Проблема виникла через повторне використання ASP.NET machine key, який із 2017 року потрапив у продакшн-системи з офіційних гайдів Sitecore. Це дало змогу атакувальникам формувати підроблені _VIEWSTATE–пакети та виконувати довільний код на сервері.
Ціллю став /sitecore/blocked.aspx із відкритим полем ViewState.
Після початкового проникнення завантажувався WeepSteel, що маскував ексфільтрацію під легітимні відповіді.
Виконувались базові команди: whoami, tasklist, ipconfig, netstat.
Далі зловмисники застосовували Earthworm для тунелювання, Dwagent як RAT, а також 7–Zip для архівації викрадених даних.
Було створено адмін-акаунти (asp$, sawadmin), здійснено дамп SAM і SYSTEM hive та ввімкнено RDP–доступ.
Вразливість CVE-2025-53690 зачепила версії Sitecore Experience Manager, XP, XC і Managed Cloud до 9.0.
XM Cloud, Content Hub, CDP, Personalize та інші нові сервіси залишилися безпечними.
Проблема полягає не в самому ASP.NET, а в некоректній конфігурації.
Sitecore вже закликала замінити всі статичні <machineKey> у web.config на унікальні ключі, зашифрувати їх і регулярно проводити ротацію.
Інцидент із Sitecore яскраво показує: навіть приклади з документації можуть стати вектором атаки, якщо їх бездумно копіюють у продакшн. Бізнесу потрібно:
перевіряти конфігурації,
оновлювати ключі безпеки,
мінімізувати ризики використання шаблонних значень.
