Source: https://www.securityweek.com/hackers-exploit-sitecore-zero-day-for-malware-delivery/
🛡 概要
最近、Sitecoreの脆弱性が悪用され、リモートコード実行(RCE)が行われていることが確認されています。この脆弱性は、特にASP.NETの機械キーが露出していることに起因しています。Googleの報告によると、攻撃者は2017年以前のSitecoreのデプロイガイドに含まれていたサンプルの機械キーを利用して、ViewStateのデシリアライズ攻撃を実行しました。この問題はCVE-2025-53690としてトラッキングされており、CVSSスコアは9.0です。影響を受けるのはSitecore Experience Manager(XM)およびExperience Platform(XP)で、特にバージョン9.0以前のものです。
🔍 技術詳細
攻撃者は、HTTPリクエストを用いてサイトの脆弱性を探り、その後、/sitecore/blocked.aspxページに対してViewStateデシリアライズ攻撃を実施しました。このページは認証なしでアクセス可能で、隠されたViewStateフォームを使用しています。ASP.NETのViewState機能は、ウェブページの状態を隠されたHTMLフィールドに保存し、持続性を持たせますが、検証メカニズムが欠如している場合、攻撃者はサーバーに対してViewStateメッセージをデシリアライズすることができます。これにより、攻撃者は新たな攻撃を行うための扉を開くことになります。具体的には、WeepSteelという.NETアセンブリが使用され、システム、ネットワーク、ユーザー情報を収集し、データを暗号化して攻撃者に送信します。
⚠ 影響
この脆弱性を悪用された場合、攻撃者はウェブアプリケーションのルートディレクトリをアーカイブして重要な構成ファイルを取得し、サーバーのフィンガープリンティングを行い、リモートアクセスのためのオープンソースツールを展開します。また、攻撃者はローカル管理者アカウントを作成し、リモートセッションを確立します。最終的には、RDPアクセスを取得し、SYSTEMおよびSAMレジストリハイブをダンプしてローカルユーザーのパスワードハッシュを抽出します。このような行為は、企業のセキュリティに重大なリスクをもたらします。
🛠 対策
Sitecoreはこのセキュリティの欠陥を修正し、影響を受ける顧客に通知を行いました。推奨される対策としては、最新のバージョンへのアップデート、機械キーの自動生成を有効にすることが挙げられます。また、企業はファイアウォールの設定や侵入検知システムを導入し、不審なアクセスを監視することが重要です。定期的なセキュリティレビューや従業員への教育も効果的です。これらの対策を講じることで、企業はこのような脅威から身を守ることができます。
