TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

CMSプロバイダーSitecore、悪用された重大なゼロデイにパッチ

Google Cloud傘下のMandiant脅威防御チームのセキュリティアナリストは、HSBC、ロレアル、トヨタ、ユナイテッド航空などの企業で利用されている人気のコンテンツ管理システム(CMS)であるSitecoreのゼロデイ脆弱性を悪用した攻撃を阻止した。

9月3日に公開されたレポートで、Google Cloudの一部であるMandiantは、この攻撃が2017年以前のSitecoreデプロイメントガイドに記載され、露出していたASP.NETのマシンキーを悪用し、リモートコード実行(RCE)を行ったと述べた。

ASP.NETは、動的なWebサイト、Webアプリケーション、アプリケーション・プログラミング・インターフェース(API)を構築するためにMicrosoftが開発したWebアプリケーションフレームワークである。ASP.NETのマシンキーは、ASP.NETアプリケーションにおける重要な処理を保護するために使用される暗号鍵である。

これらのマシンキーは、Sitecore Experience Manager(XM)およびSitecore Experience Platform(XP)におけるViewStateデシリアライゼーションの脆弱性により露出していた。

WatchTowrでプロアクティブ脅威インテリジェンス責任者を務めるRyan Dewhurst氏は次のようにコメントした。「この問題は、Sitecoreユーザーが一意でランダムなキーを生成するのではなく、公式ドキュメントのサンプルキーをコピー&ペーストしてしまうことに起因します。これは推奨しません。」

Mandiantはこの欠陥をSitecoreに報告した。共通脆弱性識別子(CVE)の採番機関(CNA)であるWizは、9月3日にこれをCVE-2025-53690として公表し、深刻度スコア(CVSS)は9.0(重大)とした。

悪用されると、CVE-2025-53690はバージョン9.0までのSitecore XMおよびSitecore XPでコードインジェクションを可能にする。

Mandiantは、この脆弱性が、公開されているデプロイメントガイドで露出したサンプルキーを用いて複数のSitecore製品のいずれかのバージョンを展開した顧客に影響すると述べた(具体的にはSitecore XP 9.0およびActive Directory 1.4以前のバージョン)。

Sitecoreの欠陥を悪用する攻撃チェーン

Mandiantの迅速対応チームは、攻撃のライフサイクル全体が観測される前にこれを阻止したが、調査により攻撃者の主要な戦術が明らかになった。

脅威アクターは標的製品とその脆弱性に関する高度な知識を示し、周到な攻撃チェーンを実行した。

  1. 初期アクセス: インターネットに公開されたSitecoreインスタンスでCVE-2025-53690を悪用し、RCEを達成
  2. 偵察とデータ窃取: 復号したViewStateペイロードを介してWEEPSTEELマルウェアを展開し、内部偵察を実施。Webアプリケーションのルートディレクトリをアーカイブし、web.configなどの機微なファイルを狙った可能性が高い。ホストおよびネットワークの偵察を実施
  3. 永続化: 公開ディレクトリに追加ツールを配置。EARTHWORM(オープンソースのネットワークトンネリング)、DWAGENT(オープンソースのリモートアクセストロイの木馬)、SHARPHOUND(オープンソースのAD偵察)を含む
  4. 権限昇格とラテラルムーブメント: ローカル管理者アカウントを作成し、SAM/SYSTEMハイブをダンプしてキャッシュされた認証情報を収集。認証情報の侵害後にRDPを用いて横展開。Active Directoryの偵察を行いながらDWAGENTにより永続性を維持
Attack lifecycle. Source: Mandiant, Google Cloud
攻撃ライフサイクル。出典: Mandiant, Google Cloud

攻撃の影響は依然不明

SitecoreはMandiantに対し、最新のデプロイメントでは一意のマシンキーが自動生成されるようになり、影響を受けた顧客には通知済みだと伝えた。

このCMSプロバイダーはまた、9月3日にセキュリティアドバイザリを公開し、この脅威を緩和する方法について顧客に助言した。

VulnCheckでセキュリティリサーチ担当VPを務めるCaitlin Condon氏は、この攻撃は「脅威アクターは確実にドキュメントを読む」ことを示す、さらなる証拠だと述べた。

「このゼロデイ脆弱性は、安全でない設定そのもの(すなわち静的マシンキーの使用)と、その公開露出の両方から生じています。影響を受けている可能性が少しでもある防御側は、直ちにマシンキーをローテーションし、可能な限りSitecoreのインストールが公衆インターネットに露出していないことを確認すべきです」と彼女は助言した。

しかし彼女はまた、脅威アクターが組織のネットワークへのアクセスに成功していた場合、キーのローテーションや設定のロックダウンだけでは不十分であるとも強調した。

「セキュリティおよび脅威ハンティングのチームは、侵害の兆候がないか環境を精査する必要があります。特にMandiantの調査では、脅威アクターが内部偵察と永続化を目的としたマルウェアや追加ツールを、1つ以上の侵害環境に展開していたことが判明しています」と彼女は付け加えた。

WatchTowrのDewhurst氏は、この段階では攻撃の影響範囲(blast radius)は不明のままだと述べた。

「しかしこのバグは、通常、深刻な脆弱性を定義するあらゆる特徴を備えています。より広範な影響はまだ表面化していませんが、いずれ明らかになるでしょう」と彼は主張した。

この新たな攻撃は、WatchTowrがSitecore製品において大規模攻撃で連鎖させ得る7つの脆弱性を明らかにしてから3か月後に発生した。

翻訳元: https://www.infosecurity-magazine.com/news/sitecore-patches-exploited/

ソース: infosecurity-magazine.com
#Active Directory侵害 #ASP.NETマシンキー #CMS #CVE-2025-53690 #Mandiant(Google Cloud) #Sitecore #ViewStateデシリアライズ #ゼロデイ脆弱性 #マルウェア(WEEPSTEEL) #リモートコード実行(RCE)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新