Vulnerabilidad Zero-Day de Des... Nota

Vulnerabilidad Zero-Day de Deserialización de ViewState en Productos Sitecore (CVE-2025-53690)

Mandiant descubrió un ataque activo contra Sitecore que explota una vulnerabilidad de deserialización de ViewState. Esta vulnerabilidad surgió de una clave de máquina de ejemplo expuesta en guías de implementación antiguas de Sitecore. Los atacantes utilizaron esta clave expuesta para lograr la ejecución remota de código en instancias de Sitecore. Sitecore ha identificado esto como CVE-2025-53690 y ha notificado a los clientes afectados. El ciclo de vida del ataque comenzó con reconocimiento externo y sondeo del servidor web de Sitecore. El atacante se dirigió específicamente a la página /sitecore/blocked.aspx debido a su formulario ViewState. Aprovecharon la clave de máquina comprometida para crear cargas útiles maliciosas de ViewState. Tras el compromiso inicial, el atacante obtuvo privilegios de NETWORK SERVICE. Luego exfiltraron archivos de configuración críticos, incluido web.config, para ayudar en futuras actividades maliciosas. Se realizó reconocimiento del host y de la red para recopilar información del sistema. El atacante preparó herramientas de código abierto como EARTHWORM y DWAGENT en directorios públicos. Se logró la escalada de privilegios creando cuentas de administrador local e intentando el robo de tokens. El actor de amenazas volcó las colmenas del registro SYSTEM y SAM para extraer hashes de contraseñas.
CdXz5zHNQW_vve2mJj2d3.png