По словам исследователей, злоумышленник воспользовался уязвимостью нулевого дня в Sitecore, возникшей из-за неправильной конфигурации открытых машинных ключей ASP.NET, которые клиенты реализовали на основе документации поставщика.
Критическая уязвимость нулевого дня — CVE-2025-53690 — была использована злоумышленником для удалённого выполнения кода, используя открытые ключи, говорится в отчёте Mandiant Threat Defense, опубликованном в среду. Образцы машинных ключей были включены в руководства Sitecore по развёртыванию, выпущенные как минимум в 2017 году.
Уязвимость конфигурации затрагивает клиентов, которые использовали пример ключа, предоставленный вместе с инструкциями по развертыванию Sitecore Experience Platform 9.0 и более ранних версий, сообщила компания Sitecore в бюллетене по безопасности, опубликованном в среду. Поставщик предупредил, что уязвимость может затронуть все версии Experience Manager, Experience Platform и Experience Commerce, если они развернуты в многоэкземплярном режиме с использованием статических машинных ключей, управляемых клиентом.
«Проблема возникла из-за того, что пользователи Sitecore копировали и вставляли примеры ключей из официальной документации, а не генерировали уникальные случайные ключи — мы не рекомендуем этого делать», — заявил Райан Дьюхерст, руководитель отдела превентивной аналитики угроз в watchTowr. «Любое развёртывание, работающее с этими известными ключами, оставалось уязвимым для атак десериализации ViewState, что являлось прямым путём к удалённому выполнению кода».
Компания Mandiant заявила, что пресекла атаку после взаимодействия с Sitecore, но это помешало ей отслеживать весь жизненный цикл атаки. Компания, занимающаяся реагированием на инциденты, предупреждает, что многие клиенты Sitecore использовали общеизвестный машинный ключ ASP.NET.
Получив доступ к уязвимому экземпляру Sitecore, доступному через интернет, злоумышленник развернул полезную нагрузку ViewState, содержащую вредоносное ПО, предназначенное для внутренней разведки, сообщает Mandiant. Исследователи объяснили, что ViewStates, функция ASP.NET, уязвима к атакам десериализации при отсутствии или компрометации ключей проверки.
Компания Mandiant заявила, что неопознанный злоумышленник, мотивы которого неизвестны, продемонстрировал глубокое понимание продукта Sitecore, поскольку он перешел от первоначального взлома к повышению привилегий и достижению горизонтального продвижения.
Sitecore и исследователи рекомендовали клиентам менять машинный ключ, если использовался общеизвестный ключ, и искать доказательства атак десериализации ViewState. Смена ключей не защитит организации, использующие системы, в которые злоумышленник, возможно, уже проник.
Исследователи Mandiant заявили, что злоумышленник создал опорные пункты, использовал вредоносное ПО и инструменты для поддержания активности, провел разведку, осуществил горизонтальное перемещение и похитил конфиденциальные данные.
«Довольно часто в документации встречаются ключи-заглушки, такие как „PUT_YOUR_KEY_HERE“ или другие случайно сгенерированные примеры», — сказал Дьюхерст. «В конечном счёте, это ошибка как со стороны пользователя, так и со стороны Sitecore. Пользователь должен знать, что нельзя копировать и вставлять открытые машинные ключи, а Sitecore должен соответствующим образом предупреждать пользователей об этом».
Количество организаций, подвергшихся атакам или потенциально подвергшихся им, остаётся неизвестным. Компания Sitecore пока не отреагировала на запрос о комментарии.
Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck, заявила, что уязвимость нулевого дня по своей сути представляет собой небезопасную конфигурацию, которая усугубляется публичным раскрытием образца ключа машины.
«Вполне возможно, что поставщик программного обеспечения не предполагал, что образец машинного ключа будет использоваться бесконечно для производственных развёртываний, но, как мы знаем, программное обеспечение постоянно развёртывается и настраивается непреднамеренно», — сказала она. «Если из этого и можно сделать один вывод, так это то, что злоумышленники определённо читают документацию по продукту, и они умеют находить в ней странности и забытые приёмы, которые можно использовать против популярного ПО».
Критическая уязвимость нулевого дня — CVE-2025-53690 — была использована злоумышленником для удалённого выполнения кода, используя открытые ключи, говорится в отчёте Mandiant Threat Defense, опубликованном в среду. Образцы машинных ключей были включены в руководства Sitecore по развёртыванию, выпущенные как минимум в 2017 году.
Уязвимость конфигурации затрагивает клиентов, которые использовали пример ключа, предоставленный вместе с инструкциями по развертыванию Sitecore Experience Platform 9.0 и более ранних версий, сообщила компания Sitecore в бюллетене по безопасности, опубликованном в среду. Поставщик предупредил, что уязвимость может затронуть все версии Experience Manager, Experience Platform и Experience Commerce, если они развернуты в многоэкземплярном режиме с использованием статических машинных ключей, управляемых клиентом.
«Проблема возникла из-за того, что пользователи Sitecore копировали и вставляли примеры ключей из официальной документации, а не генерировали уникальные случайные ключи — мы не рекомендуем этого делать», — заявил Райан Дьюхерст, руководитель отдела превентивной аналитики угроз в watchTowr. «Любое развёртывание, работающее с этими известными ключами, оставалось уязвимым для атак десериализации ViewState, что являлось прямым путём к удалённому выполнению кода».
Компания Mandiant заявила, что пресекла атаку после взаимодействия с Sitecore, но это помешало ей отслеживать весь жизненный цикл атаки. Компания, занимающаяся реагированием на инциденты, предупреждает, что многие клиенты Sitecore использовали общеизвестный машинный ключ ASP.NET.
Получив доступ к уязвимому экземпляру Sitecore, доступному через интернет, злоумышленник развернул полезную нагрузку ViewState, содержащую вредоносное ПО, предназначенное для внутренней разведки, сообщает Mandiant. Исследователи объяснили, что ViewStates, функция ASP.NET, уязвима к атакам десериализации при отсутствии или компрометации ключей проверки.
Компания Mandiant заявила, что неопознанный злоумышленник, мотивы которого неизвестны, продемонстрировал глубокое понимание продукта Sitecore, поскольку он перешел от первоначального взлома к повышению привилегий и достижению горизонтального продвижения.
Sitecore и исследователи рекомендовали клиентам менять машинный ключ, если использовался общеизвестный ключ, и искать доказательства атак десериализации ViewState. Смена ключей не защитит организации, использующие системы, в которые злоумышленник, возможно, уже проник.
Исследователи Mandiant заявили, что злоумышленник создал опорные пункты, использовал вредоносное ПО и инструменты для поддержания активности, провел разведку, осуществил горизонтальное перемещение и похитил конфиденциальные данные.
«Довольно часто в документации встречаются ключи-заглушки, такие как „PUT_YOUR_KEY_HERE“ или другие случайно сгенерированные примеры», — сказал Дьюхерст. «В конечном счёте, это ошибка как со стороны пользователя, так и со стороны Sitecore. Пользователь должен знать, что нельзя копировать и вставлять открытые машинные ключи, а Sitecore должен соответствующим образом предупреждать пользователей об этом».
Количество организаций, подвергшихся атакам или потенциально подвергшихся им, остаётся неизвестным. Компания Sitecore пока не отреагировала на запрос о комментарии.
Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck, заявила, что уязвимость нулевого дня по своей сути представляет собой небезопасную конфигурацию, которая усугубляется публичным раскрытием образца ключа машины.
«Вполне возможно, что поставщик программного обеспечения не предполагал, что образец машинного ключа будет использоваться бесконечно для производственных развёртываний, но, как мы знаем, программное обеспечение постоянно развёртывается и настраивается непреднамеренно», — сказала она. «Если из этого и можно сделать один вывод, так это то, что злоумышленники определённо читают документацию по продукту, и они умеют находить в ней странности и забытые приёмы, которые можно использовать против популярного ПО».
