RSS 云博客
关注
Sitecore 产品中的 ViewState 反序列化零日漏洞 (CVE-2025-53690)
Mandiant 发现了一起利用 ViewState 反序列化漏洞的活跃 Sitecore 攻击。该漏洞源于旧版 Sitecore 部署指南中暴露的示例机器密钥。攻击者利用这个暴露的密钥在 Sitecore 实例上实现远程代码执行。Sitecore 已将此识别为 CVE-2025-53690,并已通知受影响客户。攻击生命周期始于对 Sitecore Web 服务器的外部侦察和探测。攻击者特别针对 /sitecore/blocked.aspx 页面,因为它具有 ViewState 表单。他们利用被攻破的机器密钥来构造恶意 ViewState 有效载荷。在最初的入侵之后,攻击者获得了 NETWORK SERVICE 权限。然后,他们窃取了关键的配置文件,包括 web.config,以协助进一步的恶意活动。进行了主机和网络侦察以收集系统信息。攻击者在公共目录中部署了开源工具,例如 EARTHWORM 和 DWAGENT。通过创建本地管理员帐户和尝试窃取令牌来实现权限提升。威胁行为者转储了 SYSTEM 和 SAM 注册表配置单元以提取密码哈希。