RSS クラウド ブログ
フォロー
Sitecore製品におけるViewStateのデシリアライゼーションのゼロデイ脆弱性(CVE-2025-53690)
Mandiant は、ViewState のデシリアライゼーションの脆弱性を悪用したアクティブな Sitecore 攻撃を発見しました。この脆弱性は、古い Sitecore デプロイメントガイドで公開されたサンプルマシンキーに起因していました。攻撃者は、この公開されたキーを使用して、Sitecore インスタンスでリモートコード実行を達成しました。Sitecore はこれを CVE-2025-53690 と特定し、影響を受けた顧客に通知しました。攻撃ライフサイクルは、外部の偵察と Sitecore Web サーバーのプロービングから始まりました。攻撃者は、ViewState フォームがあるため、特に /sitecore/blocked.aspx ページを標的にしました。彼らは侵害されたマシンキーを利用して、悪意のある ViewState ペイロードを作成しました。初期侵害の後、攻撃者は NETWORK SERVICE 権限を取得しました。その後、Web.config を含む重要な設定ファイルを外部に流出し、さらなる悪意のある活動を支援しました。システム情報を収集するために、ホストおよびネットワーク偵察が実行されました。攻撃者は、EARTHWORM や DWAGENT などのオープンソースツールを公開ディレクトリに配置しました。ローカル管理者アカウントを作成し、トークン窃盗を試みることで、権限昇格が達成されました。脅威アクターは、パスワードハッシュを抽出するために、SYSTEM および SAM レジストリハイブをダンプしました。