Googleは、脅威アクターが公開されたASP.NETのマシンキーを利用して、脆弱なSitecore環境でリモートコード実行(RCE)を行っていると警告しています。
攻撃者は、2017年以前のSitecore導入ガイドに含まれていたサンプルのマシンキーを使用し、インターネットからアクセス可能なSitecoreインスタンスに対してViewState逆シリアル化攻撃を実行しました。
この問題はCVE-2025-53690(CVSSスコア9.0)として追跡されており、ガイドで公開されたサンプルキーを使用して導入されたバージョン9.0未満のSitecore Experience Manager(XM)およびExperience Platform(XP)に影響する、信頼できないデータの逆シリアル化バグと説明されています。
Sitecoreはこのセキュリティ欠陥に対処し、組織向けに推奨される緩和策と侵害の兆候(IoC)を提供するアドバイザリを公開しました。
「Sitecoreは、更新された導入環境では自動的に一意のマシンキーが生成され、影響を受ける顧客には通知済みであることを確認しています」とGoogleは述べています。
観測された攻撃の一環として、ハッカーは内部偵察を可能にするWeepSteelマルウェアを含むViewStateペイロードを使用しましたが、これらの攻撃は迅速に阻止されました。
さらにGoogleは、脅威アクターがWebアプリケーションのルートディレクトリをアーカイブ(おそらく機密ファイルを取得するため)し、ホストおよびネットワークの偵察を行い、ネットワークトンネリングやリモートアクセス用のオープンソースツールを展開し、ローカル管理者アカウントを作成したことを観測しました。
攻撃はプロービング目的のHTTPリクエストから始まり、その後、認証なしでアクセス可能な隠しViewStateフォームを使用する/sitecore/blocked.aspxページに対してViewState逆シリアル化攻撃が行われました。
広告。スクロールして記事の続きをお読みください。
ASP.NETの機能であるViewStateは、Webページの状態を隠しHTMLフィールドに保存し、永続性を持たせます。攻撃者は、検証メカニズムが欠如しているか回避可能な場合、サーバーを標的としてViewStateメッセージを逆シリアル化させることができ、公開されたマシンキーが新たな攻撃の扉を開きます。
本攻撃で展開された.NETアセンブリのWeepSteelは、システム、ネットワーク、ユーザー情報を収集し、データを暗号化してViewStateレスポンスとして攻撃者に送信できます。
初期侵害後、攻撃者はWebルートディレクトリをアーカイブして重要な構成ファイルを流出させ、サーバーのフィンガープリントを行い、EarthWormトンネラー、DWagentリモートアクセスツール、SharpHound AD偵察ツールなどのオープンソースツールをパブリックディレクトリに展開しました。
その後、ASP.NETサービスアカウント名を模したローカル管理者アカウントを作成し、リモートセッションを確立、2つ目のローカル管理者アカウントも作成し、GoTokenというバイナリを実行しました。これはGolangで書かれたトークン窃取ツールのGoTokenTheftと思われます。
ハッカーは新たに作成したアカウントを使ってリモートデスクトッププロトコル(RDP)アクセスを確立し、SYSTEMおよびSAMレジストリハイブをダンプしてローカルユーザーのパスワードハッシュを抽出しました。
「脅威アクターは、作成した管理者資格情報と侵害した管理者資格情報の両方を活用してRDPアクセスを維持するなど、複数の手法を組み合わせて永続性を確保していました。さらに、長期的なアカウントアクセスを維持するためにコマンドを発行し、関心のある管理者アカウントのパスワード有効期限を無効化する設定変更も行っていました」とGoogleは述べています。
攻撃者は他の管理者ユーザーを侵害した後、作成したアカウントを削除し、内部偵察を行い、侵害したアカウントを使って横展開も行っていました。
関連記事: Androidで悪用された2つの脆弱性が修正
関連記事: ランサムウェアグループがハイブリッドクラウドの隙間を突き、企業攻撃でAzureを完全制御
翻訳元: https://www.securityweek.com/hackers-exploit-sitecore-zero-day-for-malware-delivery/