سوءاستفاده هکرها از آسیب‌پذیری zero-day در Sitecore برای استقرار backdoor

هکرها از یک آسیب‌پذیری zero-day در استقرارهای قدیمی Sitecore سوءاستفاده کرده‌اند تا بدافزار شناسایی WeepSteel را مستقر کنند.

این نقص که با شناسه CVE-2025-53690 ردیابی می‌شود، یک آسیب‌پذیری ViewState deserialization است که به دلیل درج یک sample ASP.NET machine key در مستندات Sitecore پیش از سال ۲۰۱۷ ایجاد شده است. برخی مشتریان این کلید نمونه را در محیط production استفاده کرده‌اند و این موضوع به مهاجمان دارای آگاهی از کلید اجازه داده تا _VIEWSTATE payload‌های معتبر اما مخرب ایجاد کنند. این Payloadها سرور را فریب داده و باعث deserialization و اجرای آن‌ها می‌شوند که در نهایت به Remote Code Execution (RCE) منجر خواهد شد.

این نقص یک اشکال در ASP.NET نیست، بلکه یک misconfiguration vulnerability ناشی از استفاده مجدد از کلیدهای مستندات عمومی است که هرگز برای محیط production طراحی نشده بودند.

فعالیت‌های بهره‌برداری

پژوهشگران Mandiant که این فعالیت مخرب را در محیط واقعی شناسایی کرده‌اند، گزارش داده‌اند که threat actors از این نقص در حملات چندمرحله‌ای استفاده می‌کنند.

مهاجمان با هدف قرار دادن مسیر ‘/sitecore/blocked.aspx’ که دارای فیلد ViewState بدون احراز هویت است، از CVE-2025-53690 برای دستیابی به RCE تحت حساب IIS NETWORK SERVICE استفاده می‌کنند.

Payload مخرب آن‌ها بدافزار WeepSteel است؛ یک reconnaissance backdoor که اطلاعات سیستم، پردازش‌ها، دیسک و شبکه را جمع‌آوری کرده و خروجی را در قالب پاسخ‌های استاندارد ViewState پنهان می‌کند.

پژوهشگران Mandiant مشاهده کرده‌اند که در محیط‌های آلوده، مهاجمان اقدام به اجرای دستورات شناسایی از جمله:
whoami، hostname، tasklist، ipconfig /all و netstat -ano کرده‌اند.

در مرحله بعدی حمله، هکرها ابزارهای زیر را مستقر کرده‌اند:

• Earthworm: یک ابزار network tunneling و reverse SOCKS proxy
• Dwagent: یک remote access tool (RAT)
• ۷-Zip: برای ایجاد archive از داده‌های سرقت‌شده

پس از آن، مهاجمان با ایجاد حساب‌های کاربری محلی مدیر (‘asp$’ و ‘sawadmin’)، استخراج اطلاعات احراز هویت از SAM و SYSTEM hives و تلاش برای token impersonation از طریق ابزار GoTokenTheft، دست به privilege escalation زده‌اند.

برای تثبیت حضور خود (persistence) نیز اقدامات زیر انجام شده است:

• غیرفعال‌سازی password expiration برای حساب‌های ایجادشده
• اعطای دسترسی RDP به این حساب‌ها
• ثبت ابزار Dwagent به عنوان یک سرویس در سطح SYSTEM

کاهش ریسک CVE-2025-53690

آسیب‌پذیری CVE-2025-53690 بر محصولات Sitecore Experience Manager (XM)، Experience Platform (XP)، Experience Commerce (XC) و Managed Cloud تا نسخه ۹٫۰ تأثیر می‌گذارد؛ در صورتی که از sample ASP.NET machine key موجود در مستندات پیش از سال ۲۰۱۷ استفاده شده باشد.

محصولات XM Cloud، Content Hub، CDP، Personalize، OrderCloud، Storefront، Send، Discover، Search و Commerce Server تحت تأثیر این آسیب‌پذیری قرار ندارند.

شرکت Sitecore هم‌زمان با گزارش Mandiant یک بولتن امنیتی منتشر کرده و هشدار داده است که استقرارهای چند-نمونه‌ای (multi-instance deployments) با static machine keys نیز در معرض خطر هستند.

اقدامات توصیه‌شده برای مدیران آسیب‌پذیر

• جایگزینی فوری تمام مقادیر static <machineKey> در فایل web.config با کلیدهای جدید و منحصربه‌فرد
• اطمینان از رمزنگاری (encryption) عنصر <machineKey> در فایل web.config
• چرخش دوره‌ای (rotation) کلیدهای static machine key به عنوان یک اقدام پیشگیرانه مداوم

اطلاعات تکمیلی درباره محافظت از ASP.NET machine keys در برابر دسترسی غیرمجاز از طریق مستندات رسمی قابل دسترسی است.