Zero-Day no Sitecore é explorado para implantar malware WEEPSTEEL
Uma vulnerabilidade crítica de dia zero ( CVE-2025-53690 ) está sendo explorada ativamente no Sitecore. Essa falha, originada de chaves antigas e inseguras, permite que hackers realizem Execução Remota de Código (RCE) por meio de ataques de desserialização do ViewState.
Para sua informação, este exploit depende de um recurso chamado ViewState, que faz parte do ASP.NET e ajuda um site a se lembrar das ações do usuário. Os invasores estão explorando uma vulnerabilidade grave nesse recurso, conhecida como ataque de desserialização do ViewState. Isso ocorre quando o servidor, que normalmente confia nas mensagens do ViewState, é induzido a aceitar código malicioso porque as chaves de segurança que o protegem são de conhecimento público.
Segundo relatos, hackers têm aproveitado uma chave dos próprios guias de implantação do Sitecore, publicados em 2017. Ao usar essa chave publicamente conhecida, os invasores podem enganar o sistema para aceitar comandos maliciosos, o que, em última análise, permite que eles executem seu próprio código no servidor, um método conhecido como Execução Remota de Código (RCE).
O ataque, conforme observado pela Mandiant , segue um processo detalhado de várias etapas. Começa com os hackers sondando servidores web antes de se concentrarem em uma página específica do Sitecore que utiliza um formulário ViewState oculto. Assim que se estabelecem, eles rapidamente implantam uma ferramenta de reconhecimento, o malware WEEPSTEEL, para coletar informações críticas sobre o sistema.
Com o acesso inicial garantido, os invasores começaram a roubar arquivos de configuração confidenciais e, em seguida, implementaram um conjunto de ferramentas de código aberto para expandir seu controle. Isso incluiu o EARTHWORM para criar túneis secretos, o DWAGENT para acesso remoto e o SHARPHOUND para mapear a rede. Em seguida, eles criaram e usaram novas contas de administrador local para roubar credenciais de usuários, permitindo que se aprofundassem na rede. Isso destaca a abordagem sofisticada e metódica dos invasores.
Em um comentário urgente sobre a descoberta, Ryan Dewhurst , chefe de inteligência proativa de ameaças da watchTowr, destacou que a causa da vulnerabilidade é um erro simples dos usuários do Sitecore. "O problema decorre de usuários do Sitecore que copiam e colam chaves de exemplo da documentação oficial, em vez de gerar chaves únicas e aleatórias", observou.
Vale ressaltar que a Sitecore, uma plataforma de experiência digital e gerenciamento de conteúdo, confirmou que novas implantações agora gerarão chaves exclusivas automaticamente, e todos os clientes afetados foram contatados. A Mandiant e o Google conseguiram interromper os ataques antes que eles se desenrolassem completamente. No entanto, Dewhurst alertou que "o impacto mais amplo ainda não se manifestou, mas se manifestará", enfatizando o potencial de danos mais generalizados em um futuro próximo.
HackRead
