Sitecore 제품의 ViewState 역직렬화 제로... 노트

Sitecore 제품의 ViewState 역직렬화 제로데이 취약점 (CVE-2025-53690)

Mandiant는 ViewState 역직렬화 취약점을 이용한 활성 Sitecore 공격을 발견했습니다. 이 취약점은 이전 Sitecore 배포 가이드에 노출된 샘플 머신 키에서 비롯되었습니다. 공격자는 이 노출된 키를 사용하여 Sitecore 인스턴스에서 원격 코드 실행을 달성했습니다. Sitecore는 이를 CVE-2025-53690으로 식별하고 영향을 받은 고객에게 통보했습니다. 공격 생명 주기는 외부 정찰 및 Sitecore 웹 서버 프로빙으로 시작되었습니다. 공격자는 ViewState 폼 때문에 특히 /sitecore/blocked.aspx 페이지를 대상으로 삼았습니다. 그들은 손상된 머신 키를 활용하여 악성 ViewState 페이로드를 제작했습니다. 초기 침해 후 공격자는 NETWORK SERVICE 권한을 획득했습니다. 그런 다음 추가 악성 활동을 돕기 위해 web.config를 포함한 중요한 구성 파일을 유출했습니다. 시스템 정보를 수집하기 위해 호스트 및 네트워크 정찰이 수행되었습니다. 공격자는 EARTHWORM 및 DWAGENT와 같은 오픈 소스 도구를 공개 디렉터리에 스테이징했습니다. 로컬 관리자 계정을 생성하고 토큰 탈취를 시도하여 권한 상승을 달성했습니다. 위협 행위자는 비밀번호 해시를 추출하기 위해 SYSTEM 및 SAM 레지스트리 하이브를 덤프했습니다.
CdXz5zHNQW_vve2mJj2d3.png