Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило срочную директиву, требующую от организаций немедленно устранить критическую уязвимость CVE-2025-53690 в продуктах Sitecore. Уязвимость с оценкой 9.0 по шкале CVSS активно используется злоумышленниками. Она позволяет удаленно выполнять код (RCE) и полностью компрометировать системы, включая Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) и Managed Cloud.
Основной причиной уязвимости является использование статических, общедоступных ключей machine key. Эти ключи были опубликованы в качестве примеров в официальных руководствах по развертыванию Sitecore в 2017 году и ранее. Проблема заключается в десериализации недоверенных данных, что позволяет злоумышленникам, обладающим этим ключом, выполнить произвольный код на сервере.
Кампания по эксплуатации была обнаружена специалистами компании Mandiant, принадлежащей Google. Хотя атаки не удалось связать с какой-либо конкретной хакерской группировкой, исследователи отмечают, что злоумышленники демонстрируют «глубокое понимание скомпрометированного продукта и используемой уязвимости». В число исследователей, проанализировавших атаку, входят Роммель Ховен, Джош Фляйшер, Джозеф Скуто, Анди Слок и Чун Киат Нг.
Цепочка атаки начинается с получения первоначального доступа к доступному из интернета экземпляру Sitecore через уязвимость CVE-2025-53690. Затем злоумышленники доставляют полезную нагрузку ViewState, используя общеизвестный ключ из документации. Эта нагрузка представляет собой под названием WEEPSTEEL, которая заимствует функциональность из открытого инструмента на Python . Ее основная задача — сбор системной, сетевой и пользовательской информации с последующей ее отправкой на сервер атакующих.
После закрепления в системе злоумышленники приступают к повышению привилегий, внутренней разведке сети и горизонтальному перемещению с конечной целью кражи данных. Для этого они используют целый арсенал инструментов. Утилита EarthWorm применяется для создания сетевых туннелей через SOCKS-прокси. DWAgent используется для обеспечения постоянного удаленного доступа и разведки в Active Directory с целью поиска контроллеров домена.
Для углубленной разведки Active Directory также применяется инструмент SharpHound. Еще одна утилита, GoTokenTheft, позволяет перечислять активные токены пользователей в системе и выполнять команды от имени других вошедших в систему пользователей. После получения учетных данных злоумышленники используют протокол удаленного рабочего стола (RDP) для перемещения по сети.
В ходе атак злоумышленники создавали локальные учетные записи администраторов с именами
Эксплуатация публично известных ключей machine key не является новым явлением. В декабре 2024 года Microsoft зафиксировала первую подобную активность. В феврале 2025 года компания официально задокументировала злоупотребление этими ключами неизвестными лицами для доставки постэксплуатационного фреймворка Godzilla. В мае 2025 года компания ConnectWise раскрыла уязвимость CVE-2025-3935 (CVSS 8.1) в своем продукте ScreenConnect, которую государственная хакерская группа использовала для атак с внедрением кода через ViewState. Также известно, что брокер первоначального доступа (IAB) Gold Melody использовал аналогичную тактику для продажи доступа к скомпрометированным организациям.
Кейтлин Кондон, вице-президент по исследованию безопасности в VulnCheck, заявила, что «предприимчивый злоумышленник» использовал статический, общедоступный ключ для компрометации экземпляров Sitecore. Она подчеркнула, что «злоумышленники определенно читают документацию», и посоветовала защитникам немедленно сменить ключи machine key и убедиться, что их установки Sitecore не доступны напрямую из интернета.
Райан Дьюхерст, руководитель отдела проактивной разведки угроз в watchTowr, объяснил, что проблема является прямым результатом того, что клиенты Sitecore «копировали и вставляли примеры ключей из официальной документации» вместо генерации уникальных. Он отметил, что эта уязвимость предоставляет «прямой путь к удаленному выполнению кода (RCE)". Дьюхерст также предупредил, что, хотя «полный радиус поражения остается неизвестным», «более широкие последствия еще не проявились, но они обязательно проявятся».
В ответ на инцидент CISA предписала организациям немедленно сменить ключи , ужесточить конфигурации систем и просканировать среды на наличие индикаторов компрометации. Компания Sitecore подтвердила, что все новые развертывания теперь автоматически генерируют уникальные ключи, а со всеми затронутыми клиентами уже связались.
Изображение носит иллюстративный характер
Основной причиной уязвимости является использование статических, общедоступных ключей machine key. Эти ключи были опубликованы в качестве примеров в официальных руководствах по развертыванию Sitecore в 2017 году и ранее. Проблема заключается в десериализации недоверенных данных, что позволяет злоумышленникам, обладающим этим ключом, выполнить произвольный код на сервере.
Кампания по эксплуатации была обнаружена специалистами компании Mandiant, принадлежащей Google. Хотя атаки не удалось связать с какой-либо конкретной хакерской группировкой, исследователи отмечают, что злоумышленники демонстрируют «глубокое понимание скомпрометированного продукта и используемой уязвимости». В число исследователей, проанализировавших атаку, входят Роммель Ховен, Джош Фляйшер, Джозеф Скуто, Анди Слок и Чун Киат Нг.
Цепочка атаки начинается с получения первоначального доступа к доступному из интернета экземпляру Sitecore через уязвимость CVE-2025-53690. Затем злоумышленники доставляют полезную нагрузку ViewState, используя общеизвестный ключ из документации. Эта нагрузка представляет собой под названием WEEPSTEEL, которая заимствует функциональность из открытого инструмента на Python . Ее основная задача — сбор системной, сетевой и пользовательской информации с последующей ее отправкой на сервер атакующих.
После закрепления в системе злоумышленники приступают к повышению привилегий, внутренней разведке сети и горизонтальному перемещению с конечной целью кражи данных. Для этого они используют целый арсенал инструментов. Утилита EarthWorm применяется для создания сетевых туннелей через SOCKS-прокси. DWAgent используется для обеспечения постоянного удаленного доступа и разведки в Active Directory с целью поиска контроллеров домена.
Для углубленной разведки Active Directory также применяется инструмент SharpHound. Еще одна утилита, GoTokenTheft, позволяет перечислять активные токены пользователей в системе и выполнять команды от имени других вошедших в систему пользователей. После получения учетных данных злоумышленники используют протокол удаленного рабочего стола (RDP) для перемещения по сети.
В ходе атак злоумышленники создавали локальные учетные записи администраторов с именами
asp$ и sawadmin. Они также предпринимали попытки извлечь хеши паролей из хранилищ SAM/SYSTEM для получения учетных данных администратора. После компрометации легитимных аккаунтов созданные учетные записи asp$ и sawadmin удалялись, чтобы перейти к «более стабильным и скрытым методам доступа». Эксплуатация публично известных ключей machine key не является новым явлением. В декабре 2024 года Microsoft зафиксировала первую подобную активность. В феврале 2025 года компания официально задокументировала злоупотребление этими ключами неизвестными лицами для доставки постэксплуатационного фреймворка Godzilla. В мае 2025 года компания ConnectWise раскрыла уязвимость CVE-2025-3935 (CVSS 8.1) в своем продукте ScreenConnect, которую государственная хакерская группа использовала для атак с внедрением кода через ViewState. Также известно, что брокер первоначального доступа (IAB) Gold Melody использовал аналогичную тактику для продажи доступа к скомпрометированным организациям.
Кейтлин Кондон, вице-президент по исследованию безопасности в VulnCheck, заявила, что «предприимчивый злоумышленник» использовал статический, общедоступный ключ для компрометации экземпляров Sitecore. Она подчеркнула, что «злоумышленники определенно читают документацию», и посоветовала защитникам немедленно сменить ключи machine key и убедиться, что их установки Sitecore не доступны напрямую из интернета.
Райан Дьюхерст, руководитель отдела проактивной разведки угроз в watchTowr, объяснил, что проблема является прямым результатом того, что клиенты Sitecore «копировали и вставляли примеры ключей из официальной документации» вместо генерации уникальных. Он отметил, что эта уязвимость предоставляет «прямой путь к удаленному выполнению кода (RCE)". Дьюхерст также предупредил, что, хотя «полный радиус поражения остается неизвестным», «более широкие последствия еще не проявились, но они обязательно проявятся».
В ответ на инцидент CISA предписала организациям немедленно сменить ключи , ужесточить конфигурации систем и просканировать среды на наличие индикаторов компрометации. Компания Sitecore подтвердила, что все новые развертывания теперь автоматически генерируют уникальные ключи, а со всеми затронутыми клиентами уже связались.
