連邦民間行政機関(FCEB)は、実際に悪用されているセキュリティ脆弱性が発見されたことを受け、2025年9月25日までにSitecoreインスタンスを更新するよう勧告されています。
この脆弱性はCVE-2025-53690として追跡されており、CVSSスコアは10.0中9.0と、重大な深刻度を示しています。
「Sitecore Experience Manager(XM)、Experience Platform(XP)、Experience Commerce(XC)、およびManaged Cloudには、デフォルトのマシンキーの使用に関連する信頼されていないデータのデシリアライズ脆弱性が存在します」と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は述べています。
「この脆弱性により、攻撃者は公開されたASP.NETマシンキーを悪用してリモートコード実行を達成することが可能です。」
Google傘下のMandiantは、ViewStateデシリアライズ攻撃のアクティブな事例を発見し、この攻撃が2017年以前のSitecoreデプロイメントガイドで公開されていたサンプルマシンキーを利用していると述べています。脅威インテリジェンスチームは、この活動を既知の脅威アクターやグループには関連付けていません。
「攻撃者が侵害した製品および悪用された脆弱性について深く理解していることは、最初のサーバー侵害から権限昇格に至るまでの進行過程から明らかでした」と研究者のRommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok、Choon Kiat Ngは述べています。
公開されたASP.NETマシンキーの悪用は、2025年2月にMicrosoftによって初めて文書化されており、同社は2024年12月に遡る限定的な悪用活動を観測しました。この際、未知の脅威アクターがGodzillaポストエクスプロイトフレームワークを配布するためにキーを利用していました。
その後2025年5月には、ConnectWiseがScreenConnectに影響する認証不備の脆弱性(CVE-2025-3935、CVSSスコア:8.1)を公表し、国家支援型の脅威アクターが一部顧客を標的にViewStateコードインジェクション攻撃を実施していたことを明らかにしました。
直近の7月には、Gold Melodyとして知られるInitial Access Broker(IAB)が、漏洩したASP.NETマシンキーを悪用して組織への不正アクセスを取得し、そのアクセス権を他の脅威アクターに販売するキャンペーンに関与していたことが判明しています。
Mandiantが記録した攻撃チェーンでは、CVE-2025-53690がインターネットに公開されたSitecoreインスタンスの初期侵害に利用され、その後、オープンソースおよびカスタムツールの組み合わせが偵察、リモートアクセス、Active Directory偵察のために展開されました。
公開されているデプロイメントガイドで指定されたサンプルマシンキーを用いて配信されるViewStateペイロードは、WEEPSTEELと呼ばれる.NETアセンブリであり、システム、ネットワーク、ユーザー情報の収集や、これらの情報を攻撃者に送信することが可能です。このマルウェアは、ExchangeCmdPy.pyというオープンソースのPythonツールから一部の機能を流用しています。
取得したアクセス権を用いて、攻撃者は足場を築き、権限昇格、永続化、内部ネットワーク偵察、ネットワーク内の横移動を実施し、最終的にはデータ窃取に至っています。これらのフェーズで使用されたツールの一部は以下の通りです。
- SOCKSを用いたネットワークトンネリングのためのEarthWorm
- 永続的なリモートアクセスおよびActive Directory偵察(ターゲットネットワーク内のドメインコントローラー特定)のためのDWAgent
- Active Directory偵察のためのSharpHound
- システム上でアクティブな一意のユーザートークンの一覧表示、ユーザートークンを用いたコマンド実行、実行中の全プロセスと関連ユーザートークンの一覧表示のためのGoTokenTheft
- 横移動のためのリモートデスクトッププロトコル(RDP)
脅威アクターはまた、ローカル管理者アカウント(asp$およびsawadmin)を作成し、SAM/SYSTEMハイブをダンプして管理者資格情報の取得やRDPによる横移動を試みていたことも観測されています。
「管理者アカウントが侵害されると、先に作成されたasp$およびsawadminアカウントは削除され、より安定かつ秘匿性の高いアクセス手法への移行が示唆されました」とMandiantは付け加えています。
この脅威に対抗するため、組織はASP.NETマシンキーのローテーション、設定の厳格化、侵害の兆候のスキャンを推奨されています。
「CVE-2025-53690の要点は、どこかの意欲的な脅威アクターが、製品ドキュメントで公開されていた静的なASP.NETマシンキーを利用して、公開されたSitecoreインスタンスにアクセスしていた可能性が高いということです」とVulnCheckのセキュリティリサーチ担当VPであるCaitlin Condon氏はThe Hacker Newsに語っています。
「このゼロデイ脆弱性は、静的マシンキーの使用という安全でない設定自体と、その公開という両方から生じています。そして、これまで何度も見てきたように、脅威アクターは確実にドキュメントを読んでいます。少しでも影響を受けている可能性があると感じた防御側は、直ちにマシンキーをローテーションし、可能な限りSitecoreインストールがインターネットに公開されていないことを確認すべきです。」
watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏は、この問題はSitecoreの顧客が公式ドキュメントからサンプルキーをコピー&ペーストし、ユニークでランダムなキーを生成しなかったことに起因すると述べています。
「これら既知のキーで稼働しているすべてのデプロイメントは、ViewStateデシリアライズ攻撃にさらされており、リモートコード実行(RCE)への直通ルートとなっていました」とDewhurst氏は付け加えています。
「Sitecoreは新規デプロイメントではキーが自動生成されること、影響を受けるすべての顧客に連絡済みであることを確認しています。被害範囲は不明ですが、このバグは重大な脆弱性に典型的なすべての特徴を示しています。より広範な影響はまだ明らかになっていませんが、今後明らかになるでしょう。」
翻訳元: https://thehackernews.com/2025/09/cisa-orders-immediate-patch-of-critical.html