Sitecoreのゼロデイ構成上の脆弱性が積極的に悪用される

Sitecore製品の古い導入ガイドに記載されていたサンプルASP.NETマシンキーが、攻撃者によってViewStateコードインジェクション攻撃に悪用され、サーバーが侵害されています。

GoogleのMandiant Threat Defenseチームによると、最初の侵害の後、攻撃者は権限昇格のためのツールを展開し、新しいユーザー（管理者を含む）を追加し、リモートアクセス用のトンネルを確立し、認証情報をダンプしてネットワーク内の他のホストへの横展開を可能にします。

「攻撃者は侵害した製品と脆弱性について深い理解を持っており、初期のサーバー侵害から権限昇格まで巧みに進行していました」とMandiantチームはレポートで述べています。

顧客管理の静的マシンキーを使い、漏洩したサンプルキーを利用してマルチインスタンスモードで展開されたSitecore Experience Manager（XM）、Experience Platform（XP）、Experience Commerce（XC）のインスタンスが、この脆弱性（CVE-2025-53690）によって影響を受けます。Sitecore Managed Cloud Standard with Containersのマルチインスタンスモードで展開されたインスタンスも影響を受ける可能性があると、Sitecoreのアドバイザリで述べられています。

ViewStateコードインジェクション攻撃

ASP.NETプログラミング言語では、ViewStateはWebフォームの投稿間でWebページの状態を保持するための方法です。この情報は__VIEWSTATEという隠しHTMLフィールドに保存され、アプリケーション構成ファイルに格納されたValidationKeyおよびDecryptionKeyと呼ばれるキーで署名・暗号化できます。

これらのキーが盗まれたり漏洩した場合、攻撃者はPOSTリクエスト内に悪意のあるViewStateペイロードを作成し、サーバーがそれを復号・検証・実行してワーカープロセスのメモリにロードすることが可能になります。

これらの攻撃はViewStateコードインジェクションまたはViewStateデシリアライズ攻撃として知られており、新しいものではありません。Microsoftは12月にこの手法を利用した実際の攻撃が確認されたと警告し、悪用可能な3,000件以上の公開マシンキーを特定したと発表しています。

Mandiantが調査した攻撃では、2017年まで遡るSitecore XP 9.0以前およびActive Directory 1.4の導入手順に含まれていたサンプルキーが悪用されていました。Sitecoreの新しい導入ではインストールごとに一意のキーが生成されますが、古い導入ガイドを使ってサンプルキーを使用したユーザーは、侵害の兆候がないかインストールを確認する必要があります。

初期アクセスからサーバー完全侵害まで

Mandiantが調査したインシデントの攻撃者は、CVE-2025-53690を悪用してViewState経由でInformation.dllという.NETアセンブリを注入しました。この情報収集ツールはMandiantによってWEEPSTEELとして追跡されており、GhostContainerバックドアに似ています。

攻撃の一環として、WEEPSTEELはシステムやユーザーに関する情報収集や、攻撃者にMicrosoft IISワーカープロセスが使用するNETWORK SERVICE権限を付与するために使用されました。これにより、アプリケーションの構成ファイルから機密情報を外部に持ち出すことができました。

攻撃者はその後、MusicおよびVideoディレクトリに事前に配置していた追加ツールをダウンロードしました。これらのツールには、7za.exeアーカイブユーティリティ、MandiantがEARTHWORMとして追跡するSOCKS v5トンネリングツール、悪意のあるコマンドを含むVBSスクリプト、さまざまな権限昇格ツールが含まれていました。

権限昇格ツールにより、攻撃者はSYSTEM権限を獲得し、asp$やsawadminといった管理者アカウントを含む追加アカウントを作成しました。これらのアカウントで展開・使用された追加ツールには、DWAGENTというリモートアクセスツールやGoToken.exeというユーザートークン窃取ツールが含まれていました。

攻撃者はまた、SYSTEMおよびSAMレジストリハイブをダンプして、システム上に設定されたすべてのローカルユーザーのパスワードハッシュを抽出しました。この情報はリモートデスクトッププロトコル（RDP）セッションを介した横展開の開始に利用されました。BloodHound Active Directory分析フレームワークの一部であるSHARPHOUNDツールも展開されました。

攻撃者は収集したアカウント認証情報とRDPを利用してネットワーク上の他のシステムへ移動することに成功しました。EARTHWORMトンネリングツールもこれらのシステムに展開されました。

対策

自分のSitecore環境が影響を受けている可能性があると考えるユーザーは、直ちに環境を調査し、侵害やマルウェアの兆候がないか確認する必要があります。Mandiantのレポートには、検知シグネチャの作成に利用できる侵害指標が含まれています。

また、web.configファイル内のマシンキーをローテーションし、構成ファイル内の<machineKey>要素が暗号化されていることを確認してください。web.configファイルはアプリケーション管理者のみがアクセスできるように設定し、マシンキーはMicrosoftのASP.NET ViewStateセキュリティガイダンスに従って自動的にローテーションされるようにしてください。