RSS Блог об облаках
Подписаться
Уязвимость нулевого дня при десериализации ViewState в продуктах Sitecore (CVE-2025-53690)
Mandiant обнаружил активную атаку на Sitecore, использующую уязвимость десериализации ViewState. Эта уязвимость возникла из-за того, что образец ключа машины, раскрытый в старых руководствах по развертыванию Sitecore. Злоумышленники использовали этот раскрытый ключ для достижения удаленного выполнения кода на экземплярах Sitecore. Sitecore идентифицировал это как CVE-2025-53690 и уведомил пострадавших клиентов. Жизненный цикл атаки начался с внешней разведки и зондирования веб-сервера Sitecore. Злоумышленник специально нацелился на страницу /sitecore/blocked.aspx из-за ее формы ViewState. Они использовали скомпрометированный ключ машины для создания вредоносных полезных нагрузок ViewState. После первоначального компромисса злоумышленник получил привилегии NETWORK SERVICE. Затем они извлекли критически важные файлы конфигурации, включая web.config, для дальнейшей вредоносной деятельности. Была проведена разведка хостов и сети для сбора информации о системе. Злоумышленник разместил инструменты с открытым исходным кодом, такие как EARTHWORM и DWAGENT, в общедоступных каталогах. Повышение привилегий было достигнуто путем создания локальных учетных записей администраторов и попыток кражи токенов. Злоумышленник дампал реестры SYSTEM и SAM для извлечения хэшей паролей.