Mandiantは、公開されたASP.NETキーを利用したViewState逆シリアル化攻撃を無効化することに成功したと発表しました。
Googleのセキュリティ研究者は水曜日、ViewState逆シリアル化攻撃と関連してSiteCoreコンテンツ管理システムプラットフォームに発見したゼロデイ脆弱性について警告しました。この攻撃は彼らによって阻止されました。
この攻撃は、公開されたASP.NETキーを利用してリモートコード実行を行うものであり、GoogleのMandiant Threat Defenseによるブログ記事によると、2017年以前のSiteCoreの導入ガイドでサンプルのマシンキーが公開されていたことが判明しています、同ブログによると。
研究者たちは、攻撃の標的となった組織についての詳細は明らかにしていません。
この脆弱性はCVE-2025-53690として追跡されており、SiteCore Experience ManagerおよびSiteCore Experience Platformにおける信頼できないデータの逆シリアル化に関連しています。
SiteCoreは、ユーザーに対しセキュリティパッチを通じて直ちにアカウントを更新すること、さらに環境が侵害されていないか追加の確認を行うことを強く推奨しています。同社が火曜日に発表した通達によると、その後この通達は更新されています。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は木曜日、このCVEを既知の悪用脆弱性カタログに追加しました。
安全でない構成
Mandiantの研究者はブログ記事の中で、攻撃の全体的なライフサイクルを観察することはできなかったものの、攻撃者は「侵害された製品について深い理解を示していた」と述べています。
この脆弱性を悪用した攻撃者は、「製品ドキュメントで以前公開されていた静的なASP.NETマシンキー」を使用してSiteCoreの公開インスタンスを標的にしていたと、VulnCheckのセキュリティ研究担当副社長Caitlin Condon氏はCybersecurity Diveに語りました。
「このゼロデイ脆弱性は、安全でない構成自体(つまり静的マシンキーの使用)と公開状態の両方に起因しています」とCondon氏は述べ、「これまで何度も見てきたように、脅威アクターは確実にドキュメントを読んでいます」と付け加えました。
編集者注:CISAからの追加情報で更新しました。
翻訳元: https://www.cybersecuritydive.com/news/researchers-warn-zero-day-vulnerability-sitecore/759269/