CMSプロバイダーSitecore、重大なゼロデイ脆弱性の悪用にパッチ適用

Mandiant Threat Defenseチームのセキュリティアナリストは、HSBC、ロレアル、トヨタ、ユナイテッド航空などの企業が利用する人気のコンテンツ管理システム（CMS）Sitecoreのゼロデイ脆弱性を悪用した攻撃を阻止しました。

9月3日に公開されたレポートで、Google Cloud傘下のMandiantは、攻撃者が2017年以前のSitecore導入ガイドに記載された公開されたASP.NETマシンキーを利用し、リモートコード実行（RCE）を行ったと述べています。

ASP.NETは、Microsoftが開発した動的ウェブサイト、ウェブアプリ、APIを構築するためのウェブアプリケーションフレームワークです。ASP.NETマシンキーは、ASP.NETアプリケーション内の重要な操作を保護するための暗号化キーです。

これらのマシンキーは、Sitecore Experience Manager（XM）およびSitecore Experience Platform（XP）におけるViewStateデシリアライズ脆弱性により公開されていました。

WatchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏は、「問題の根本は、Sitecoreユーザーが公式ドキュメントのサンプルキーをコピー＆ペーストして使用し、固有でランダムなキーを生成しなかったことにあります。これは推奨できません」とコメントしています。

Mandiantはこの脆弱性をSitecoreに報告しました。共通脆弱性識別子（CVE）ナンバリング機関（CNA）であるWizは、9月3日にこの脆弱性をCVE-2025-53690として公開し、深刻度スコア（CVSS）は9.0（重大）と評価されました。

悪用された場合、CVE-2025-53690はSitecore XMおよびSitecore XPバージョン9.0までのコードインジェクションを可能にします。

Mandiantによると、この脆弱性は、公開されている導入ガイドで公開されたサンプルキーを使用して複数のSitecore製品のいずれかのバージョンを導入した顧客（特にSitecore XP 9.0およびActive Directory 1.4以前のバージョン）に影響します。

Sitecore脆弱性を悪用した攻撃チェーン

Mandiantの緊急対応チームは、攻撃の全過程が観察される前に攻撃を阻止しましたが、調査により重要な攻撃者の手口が明らかになりました。

脅威アクターは、標的となった製品およびその脆弱性に関する高度な知識を示し、計画的な攻撃チェーンを実行しました：

1. 初期アクセス：インターネットに公開されたSitecoreインスタンスでCVE-2025-53690を悪用し、RCEを達成
2. 偵察およびデータ窃取：復号化されたViewStateペイロードを介してWEEPSTEELマルウェアを展開し、内部偵察を実施；ウェブアプリケーションのルートディレクトリをアーカイブし、web.configなどの機密ファイルを標的にした可能性；ホストおよびネットワークの偵察を実施
3. 永続化：EARTHWORM（オープンソースのネットワークトンネリング）、DWAGENT（オープンソースのリモートアクセス型トロイの木馬）、SHARPHOUND（オープンソースのAD偵察）などの追加ツールをパブリックディレクトリに配置
4. 権限昇格と横展開：ローカル管理者アカウントを作成し、SAM/SYSTEMハイブをダンプしてキャッシュされた認証情報を収集；認証情報侵害後にRDPを利用して横展開；Active Directory偵察を実施しつつDWAGENTで永続化を維持

攻撃の影響は依然不明

SitecoreはMandiantに対し、最新の導入では自動的に固有のマシンキーが生成され、影響を受けた顧客には通知済みであると伝えました。

CMSプロバイダーはまた、9月3日にセキュリティアドバイザリを公開し、顧客に対策方法を案内しています。

VulnCheckのセキュリティリサーチ担当副社長Caitlin Condon氏は、「この攻撃は『脅威アクターが確実にドキュメントを読んでいる』という新たな証拠です」と述べています。

「このゼロデイ脆弱性は、不適切な設定（すなわち静的なマシンキーの使用）と公開状態の両方から生じています。少しでも影響を受けている可能性があると考える防御担当者は、直ちにマシンキーをローテーションし、可能な限りSitecoreインストールがインターネットに公開されていないことを確認すべきです」と彼女は助言します。

しかし、彼女はまた、攻撃者が組織のネットワークにアクセスできていた場合、キーのローテーションや設定の強化だけでは十分ではないとも指摘しています。

「セキュリティおよび脅威ハンティングチームは、侵害の兆候がないか環境を調査する必要があります。特に、Mandiantの調査で脅威アクターがマルウェアや追加ツールを展開し、内部偵察や複数環境での永続化を図っていたことが判明しているためです」と彼女は付け加えています。

WatchTowrのDewhurst氏は、現時点では攻撃の影響範囲は不明だと述べています。

「しかし、このバグは通常、深刻な脆弱性を特徴づけるすべての要素を備えています。より広範な影響はまだ表面化していませんが、いずれ明らかになるでしょう」と彼は述べています。

この新たな攻撃は、WatchTowrがSitecore製品の7つの脆弱性を明らかにし、大規模攻撃に連鎖利用できる可能性を指摘してから3カ月後に発生しました。