ViewState Deserialisierungs-Ze... Notiz

ViewState Deserialisierungs-Zero-Day-Schwachstelle in Sitecore-Produkten (CVE-2025-53690)

Mandiant hat einen aktiven Angriff auf Sitecore entdeckt, der eine ViewState-Deserialisierungsschwachstelle ausnutzt. Diese Schwachstelle ergab sich aus einem Beispiel-Maschinenschlüssel, der in älteren Sitecore-Bereitstellungshandbüchern offengelegt wurde. Angreifer nutzten diesen offengelegten Schlüssel, um auf Sitecore-Instanzen eine Remotecodeausführung zu erreichen. Sitecore hat dies als CVE-2025-53690 identifiziert und betroffene Kunden benachrichtigt. Der Angriffszyklus begann mit externer Aufklärung und dem Sondieren des Sitecore-Webservers. Der Angreifer zielte spezifisch auf die Seite /sitecore/blocked.aspx wegen ihres ViewState-Formulars ab. Sie nutzten den kompromittierten Maschinenschlüssel, um bösartige ViewState-Nutzlasten zu erstellen. Nach der anfänglichen Kompromittierung erlangte der Angreifer die Berechtigungen von NETWORK SERVICE. Anschließend exfiltrierte er kritische Konfigurationsdateien, einschließlich web.config, um weitere bösartige Aktivitäten zu unterstützen. Host- und Netzwerkkundschaftung wurde durchgeführt, um Systeminformationen zu sammeln. Der Angreifer stufte Open-Source-Tools wie EARTHWORM und DWAGENT in öffentlichen Verzeichnissen ein. Die Rechteerweiterung wurde durch die Erstellung lokaler Administrator-Konten und den Versuch des Token-Diebstahls erreicht. Der Bedrohungsakteur dumpte die SYSTEM- und SAM-Registrierungshives, um Passwort-Hashes zu extrahieren.
CdXz5zHNQW_vve2mJj2d3.png