脅威アクターは、レガシーSitecore導入環境のゼロデイ脆弱性を悪用し、WeepSteel偵察マルウェアを展開しています。
この脆弱性はCVE-2025-53690として追跡されており、2017年以前のSitecoreガイドに含まれていたサンプルASP.NETマシンキーが原因で発生するViewStateデシリアライズ脆弱性です。
一部の顧客がこのキーを本番環境で再利用したことで、攻撃者はこのキーを知っていれば有効だが悪意のある「_VIEWSTATE」ペイロードを作成でき、サーバーを騙してデシリアライズと実行をさせ、リモートコード実行(RCE)に至ります。
この脆弱性はASP.NET自体のバグではなく、本来本番環境で使うべきでない公開ドキュメントのキーを再利用したことによる設定ミスです。
悪用活動
野生下での悪意ある活動を発見したMandiantの研究者は、脅威アクターがこの脆弱性を多段階攻撃で利用していると報告しています。(詳細はこちら)
攻撃者は認証不要のViewStateフィールドを含む「/sitecore/blocked.aspx」エンドポイントを標的とし、CVE-2025-53690を利用してIISのNETWORK SERVICEアカウント権限でRCEを達成します。
彼らが投入する悪意あるペイロードはWeepSteelという偵察用バックドアで、システム、プロセス、ディスク、ネットワーク情報を収集し、情報の持ち出しを標準的なViewStateレスポンスに偽装します。
出典:Mandiant
Mandiantは、侵害された環境でwhoami、hostname、tasklist、ipconfig /all、netstat -anoなどの偵察コマンドが実行されているのを観測しました。
攻撃の次の段階では、ハッカーはEarthworm(ネットワークトンネリングおよびリバースSOCKSプロキシ)、Dwagent(リモートアクセスツール)、7-Zip(盗んだデータのアーカイブ作成用)を展開しました。
その後、ローカル管理者アカウント(「asp$」、「sawadmin」)の作成、キャッシュされた(SAMおよびSYSTEMハイブ)認証情報のダンプ、GoTokenTheftによるトークンなりすましの試行などで権限昇格を行いました。
永続化は、これらのアカウントのパスワード有効期限を無効化し、RDPアクセスを付与し、DwagentをSYSTEMサービスとして登録することで確保されました。
出典:Mandiant
CVE-2025-53690の緩和策
CVE-2025-53690は、2017年以前のドキュメントに含まれるサンプルASP.NETマシンキーを使用して導入された場合、Sitecore Experience Manager(XM)、Experience Platform(XP)、Experience Commerce(XC)、Managed Cloud(バージョン9.0まで)に影響します。
XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search、Commerce Serverには影響しません。
SitecoreはMandiantの報告と連携し、セキュリティ・ブリテンを公開し、静的マシンキーを使用したマルチインスタンス展開もリスクがあると警告しています。
影響を受ける可能性のある管理者への推奨対応は、web.config内のすべての静的<machineKey>値を直ちに新しく一意なキーに置き換え、web.config内の<machineKey>要素が暗号化されていることを確認することです。
一般的に、静的マシンキーの定期的なローテーションを継続的なセキュリティ対策として採用することが推奨されます。
ASP.NETマシンキーを不正アクセスから守る方法の詳細はこちらをご覧ください。
