Rob Wright、シニアニュースディレクター、Dark Reading
2025年9月4日
読了時間:4分
出典:MauriceNorbert(Alamyストックフォト経由)
重大なSitecoreのゼロデイ脆弱性が、今年発生している最新のViewState逆シリアル化攻撃の中で積極的に悪用されています。
この脆弱性はCVE-2025-53690として追跡されており、火曜日に公開されました。Sitecore Experience Manager(XM)、Experience Platform(XP)、Experience Commerceなど複数のSitecore製品に影響を与えます。水曜日に公開されたブログ記事で、Mandiantはこのゼロデイ脆弱性がViewState逆シリアル化の欠陥であり、実際に野放しで悪用されていると述べています。
ViewStateはASP.NETページフレームワークの機能で、ページやコントロールの値をラウンドトリップ間で保持するために設計されています。ASP.NETのマシンキーはViewStateを不正アクセスから保護するために使用されますが、もしキーが漏洩すると、攻撃者は標的組織のサーバーに対してリモートコード実行(RCE)や逆シリアル化攻撃を行うことができます。
Mandiantによると、まさにそれがCVE-2025-53690の悪用で起こりました。「最近の調査で、Mandiant Threat Defenseは、2017年以前のSitecoreの導入ガイドで公開されていたサンプルのマシンキーを利用したSitecore環境に対するViewState逆シリアル化攻撃を発見しました」と、ブログ記事は述べています。「攻撃者は漏洩したASP.NETマシンキーを利用してリモートコード実行を行いました。」
Mandiantは、迅速な対応を開始した後、Sitecoreサーバーへの攻撃を阻止することに成功し、インシデント対応チームは攻撃の全サイクルを観察することはできませんでした。しかし、このゼロデイの悪用は、今年発生しているViewState攻撃や漏洩したマシンキーの最新の事例にすぎません。
漏洩したASP.NETキーが警鐘を鳴らす
2月のブログ記事で、Microsoftは3,000件の公開されたASP.NETマシンキーがViewState攻撃に悪用される可能性があることを明らかにしました。
「これまで知られていた多くのViewStateコードインジェクション攻撃は、ダークウェブのフォーラムなどで売買される侵害または盗難されたキーを使用していましたが、これらの公開されたキーは複数のコードリポジトリで入手可能で、開発コードにそのまま組み込まれている可能性があるため、より高いリスクとなります」とMicrosoft Threat Intelligenceはブログ記事で述べています。
2か月後、GladinetのCentreStackに関連するゼロデイ脆弱性(CVE-2025-30406)が悪用され始めました。Gladinetのアドバイザリによると、この逆シリアル化の欠陥は「IIS(Internet Information Servicesサーバー)のweb.configファイル内で適切に保護されていないmachineKey」に関係しており、これはASP.NET ViewStateデータの保護を担っています。
5月下旬には、ConnectWiseが侵害され、国家支援型と疑われる攻撃者がScreenConnectの認証不備の脆弱性(CVE-2025-3935)を悪用し、ViewStateコードインジェクション攻撃を可能にしました。そして7月には、Microsoft自身も脅威アクターがMicrosoft SharePoint Serverの脆弱性(CVE-2025-53770)を悪用した「ToolShell」という攻撃チェーンに直面することとなりました。
関連攻撃か、それとも機会主義的な脅威アクターか?
今年のViewState攻撃の波にもかかわらず、専門家はこれらが関連している可能性は低いと述べています。Huntressの主任脅威インテリジェンスアナリストであるGreg Linares氏はDark Readingに対し、「Sitecore攻撃に関する情報が限られているため、過去の攻撃との共通点や現在の悪用の範囲を判断するのは難しい」と語っています。
攻撃者は被害者のWebサーバーに対し、/sitecore/blocked.aspxページへのHTTPリクエストで調査を行いました。「私の調査によると、これはコンテンツフィルタリングのため常に発生しています」とLinares氏は述べています。このページはGoogleによると、ライセンスの問題でリクエストがブロックされた場合にメッセージを返す正規のSitecoreコンポーネントです。しかし、認証不要で利用できる隠しViewStateフォームが含まれているため、攻撃者にとっては逆シリアル化攻撃の格好の標的となります。
TenableのシニアリサーチエンジニアであるSatnam Narang氏は、Mandiantが観測したSitecore攻撃は、偶然漏洩した秘密鍵ではなく、ドキュメントの問題に起因していることが明らかだと述べています。「これは[Sitecore]が顧客向けにサンプルのマシンキーを提供し、脅威アクターがそのドキュメントを見つけて『試してみよう』と思い、実際に機能したというケースです」と彼はDark Readingに語っています。
Narang氏は、これはネットワークルーターに「admin-admin」のようなデフォルト認証情報が設定されているのと同じ傾向だと述べています。しかし、今年のViewState攻撃の連続は偶然の可能性が高いものの、注目すべきものであり、リモートコード実行以上のリスクがあると警告しています。「サーバー上で持続的に潜伏し、検知されにくくするのにも有効です」とNarang氏は述べています。
Sitecoreのアドバイザリは、顧客に対し、不審な挙動がないか環境を調査し、ASP.NETマシンキーをローテーションおよび安全に管理して偶発的な漏洩を防ぐよう呼びかけています。また、web.configファイル内のシステム<machineKey>要素が暗号化されていることを確認し、web.configファイルへのアクセスを管理者のみに制限するよう求めています。