研究者によると、攻撃者はSitecoreに存在するゼロデイ脆弱性を悪用しました。この脆弱性は、ベンダーのドキュメントに基づいて顧客が実装した公開ASP.NETマシンキーの誤った設定に起因しています。
この重大なゼロデイ脆弱性 — CVE-2025-53690 — は、攻撃者が公開されたキーを利用してリモートコード実行を達成するために悪用されました、とMandiant Threat Defenseは水曜日のレポートで述べています。サンプルのマシンキーは、少なくとも2017年からSitecoreのデプロイメントガイドに含まれていました。
この設定上の脆弱性は、Sitecore Experience Platform 9.0以前のデプロイメント手順で提供されたサンプルキーを使用した顧客に影響します、とSitecoreは水曜日のセキュリティ速報で述べています。ベンダーは、Experience Manager、Experience Platform、Experience Commerceのすべてのバージョンが、顧客管理の静的マシンキーを用いたマルチインスタンスモードでデプロイされた場合、影響を受ける可能性があると警告しています。
「この問題は、Sitecoreユーザーが公式ドキュメントからサンプルキーをコピー&ペーストし、独自のランダムなキーを生成しなかったことに起因しています。これは私たちが推奨しない方法です」とwatchTowrのプロアクティブ脅威インテリジェンス部門責任者Ryan Dewhurst氏は述べています。「これらの既知のキーで稼働しているデプロイメントは、ViewStateのデシリアライズ攻撃にさらされており、リモートコード実行への直通ルートとなります。」
MandiantはSitecoreと連携した後、攻撃を阻止したと述べていますが、そのために攻撃の全体的なライフサイクルを観察することはできなかったとしています。このインシデント対応企業は、多くのSitecore顧客が一般的に知られているASP.NETマシンキーを使用していたと警告しています。
Mandiantによると、影響を受けたインターネット公開Sitecoreインスタンスへのアクセスを得た攻撃者は、内部偵察用に設計されたマルウェアを含むViewStateペイロードを展開しました。研究者は、ViewStateはASP.NETの機能であり、検証キーが存在しない、または漏洩している場合、デシリアライズ攻撃に対して脆弱であると説明しています。
Mandiantは、動機が不明な身元不明の攻撃者が、初期侵害から権限昇格、水平移動の達成まで、Sitecore製品に対する深い理解を示したと述べています。
Sitecoreおよび研究者は、一般的に知られているマシンキーを使用していた場合はキーをローテーションし、ViewStateデシリアライズ攻撃の証拠を調査するよう顧客に助言しています。ただし、攻撃者がすでに侵入している可能性のあるシステムを使用している組織にとっては、キーのローテーションは保護策にはなりません。
Mandiantの研究者によると、攻撃者は足場を築き、マルウェアやツールを展開して持続性を維持し、偵察を行い、水平移動を達成し、機密データを窃取しました。
「ドキュメントに『PUT_YOUR_KEY_HERE』のようなプレースホルダーキーや、他のランダムに生成された例が含まれていることは非常に一般的です」とDewhurst氏は述べています。「最終的には、ユーザー側とSitecore側の両方の失敗です。ユーザーは公開マシンキーをコピー&ペーストしてはいけないことを知っておくべきですし、Sitecoreもユーザーに対して十分な警告をするべきでした。」
攻撃を受けた、または攻撃にさらされた可能性のある組織の数は不明のままです。Sitecoreはコメントの要請にすぐには応じませんでした。
VulnCheckのセキュリティリサーチ担当副社長Caitlin Condon氏は、このゼロデイ脆弱性は本質的に安全でない設定であり、サンプルマシンキーが公開されたことでさらに悪化したと述べています。
「ソフトウェアサプライヤーがサンプルマシンキーを本番環境で無期限に使用することを想定していなかった可能性は十分にありますが、ご存知の通り、ソフトウェアは常に意図しない方法でデプロイ・設定されてしまいます」と彼女は述べています。「この件から得られる教訓があるとすれば、それは攻撃者も確実に製品ドキュメントを読み、そこにある癖や忘れられたトリックを見つけて人気ソフトウェアに対して機会的に悪用するのが得意だということです。」
翻訳元: https://cyberscoop.com/sitecore-zero-day-vulnerability/