- Sitecoreは、レガシー環境に影響を与える重大なゼロデイのデシリアライズ脆弱性にパッチを適用
- 脅威アクターがこの脆弱性を悪用し、WeepSteelなどのマルウェアを展開
- Mandiantが攻撃の途中で介入し、被害の拡大を防止
人気のあるCMSプラットフォームのSitecoreは、サイバー攻撃で悪用されていた重大なゼロデイ脆弱性にパッチを適用しました。
セキュリティ研究者のMandiantは、脅威アクターがゼロデイ脆弱性を悪用してマルウェアやその他の正規ソフトウェアを展開していたことを観測しました。
この脆弱性は、古い導入ガイド(2017年以前)で公開されていたサンプルのASP.NETマシンキーの使用に起因しており、現在はCVE-2025-53690として追跡されています。深刻度スコアは9.0/10(クリティカル)と評価されています。
WeepSteelなど、さらなる脅威
このゼロデイは、Sitecore Experience Manager(XM)、Sitecore Experience Platform(XP)、Experience Commerce(XC)、およびManaged Cloudのバージョン9.0までに影響する重大なデシリアライズ脆弱性であり、2017年以前のドキュメントに含まれるサンプルASP.NETマシンキーを使用して導入された場合に該当します。
XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search、およびCommerce Serverは影響を受けないようです。
Mandiantは攻撃の実行途中で介入したため、研究者は攻撃の全体像を観測することはできませんでした。それでも、内部偵察用に設計されたWeepSteelというマルウェアを発見することに成功しました。このマルウェアは、システム情報やプロセス、ディスク、ネットワークデータを収集し、それらを標準のViewStateレスポンスに偽装して外部に送信します。
攻撃者が使用していた他のツールには、ネットワークトンネリングおよびリバースSOCKSプロキシツールのEarthworm、リモートアクセスツールのDwagent、そして人気のアーカイバ7-Zipなどが含まれていました。
Mandiantが調査を主導し攻撃を阻止しましたが、正式な国家や犯罪グループへの帰属は行われていません。ただし、戦術、ツール、運用の成熟度から、ASP.NET環境の悪用経験を持つ十分なリソースを備えたアクターによる標的型キャンペーンである可能性が示唆されています。
Sitecoreはデジタル体験プラットフォーム(DXP)であり、Nestlé、Subway、Suzuki、Procter & Gambleなどの大手ブランドが、パーソナライズされたスケーラブルなデジタル体験を提供するために利用しています。
