共计 1259 个字符,预计需要花费 4 分钟才能阅读完成。
近期,网络安全领域出现重大威胁,黑客利用 Sitecore 部署中的零日漏洞(CVE-2025-53690),成功部署了名为 WeepSteel 的侦察恶意软件。这一事件再次为企业网络安全敲响了警钟。,
Sitecore 漏洞技术分析
该漏洞属于 ViewState 反序列化漏洞,源于 2017 年之前 Sitecore 指南中包含的 ASP.NET 示例机器密钥。部分客户在生产环境中重复使用了此密钥,使得攻击者能够制作有效的恶意 ’_VIEWSTATE’ 负载,欺骗服务器反序列化并执行它们,从而导致远程代码执行(RCE)。值得注意的是,该漏洞并非 ASP.NET 本身的错误,而是由重复使用公开记录的密钥(这些密钥从未用于生产环境)引起的配置错误漏洞。
攻击活动详情
Mandiant 研究人员在野外发现了恶意活动,报告称威胁行为者一直在多阶段攻击中利用该漏洞。攻击者针对包含未经身份验证的 ViewState 字段的 ’/sitecore/blocked. aspx’ 端点,并通过利用 CVE-2025-53690 在 IIS NETWORK SERVICE 账户下实现 RCE。他们投放的恶意负载是 WeepSteel,一种侦察后门程序,收集系统、进程、磁盘和网络信息,并将其外泄伪装成标准的 ViewState 响应。
Mandiant 观察到在受感染环境中执行了侦察命令,包括 whoami、hostname、tasklist、ipconfig /all 和 netstat -ano。在攻击的下一阶段,黑客部署了 Earthworm(一种网络隧道和反向 SOCKS 代理)、Dwagent(一种远程访问工具)和 7 -Zip,用于创建被盗数据的存档。随后,他们通过创建本地管理员账户(’asp$,’ ‘sawadmin’)、缓存(SAM 和 SYSTEM hives)凭证转储,并尝试通过 GoTokenTheft 进行令牌模拟来提升权限。通过禁用这些账户的密码过期、授予它们 RDP 访问权限并将 Dwagent 注册为 SYSTEM 服务来确保持久性。,
漏洞影响范围与缓解措施
CVE-2025-53690 影响使用 2017 年之前文档中包含的 ASP.NET 示例机器密钥部署的 Sitecore Experience Manager(XM)、Experience Platform(XP)、Experience Commerce(XC)和 Managed Cloud,最高版本为 9.0。XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search 和 Commerce Server 不受影响。
Sitecore 与 Mandiant 的报告协调发布了 安全公告 ,警告具有静态机器密钥的多实例部署也存在风险。对可能受影响的管理员建议立即将 web.config 中的所有静态
