サイトコアの旧バージョンで見つかったゼロデイ脆弱性(CVE-2025-53690)が悪用され、WeepSteelという調査用マルウェアが展開されています。この脆弱性は、2017年以前のガイドに含まれていたサンプルのASP.NETマシンキーを再利用することによって引き起こされるデシリアライズの問題です。攻撃者はこのキーを知っていることで、悪意のある’_VIEWSTATE’ペイロードを作成し、サーバーを騙して遠隔コードの実行を行っています。研究者のMandiantによると、攻撃者は複数段階の攻撃を行い、未認証のViewStateフィールドを含む’/sitecore/blocked.aspx’エンドポイントを標的にしています。WeepSteelは、システムやネットワークの情報を収集するバックドアで、エクスフィルトレーションを標準的なViewStateの応答として偽装します。
攻撃の次の段階では、地球虫(Earthworm)やリモートアクセスツール(Dwagent)を使ってデータを盗むためのアーカイブを作成しています。また、攻撃者はローカル管理者アカウントを作成し、資格情報のダンプを試みるなどして特権を昇格させています。推奨される対策として、潜在的に影響を受ける管理者にはすべての静的値を新しいユニークなキーに置き換えることが勧められています。さらに、定期的な静的マシンキーの回転を行うことが安全対策として推奨されています。サイトコアは、脆弱性に対するセキュリティ情報を公開しており、詳細な保護方法についてはリンク先を参照するよう案内しています。
Read more
コメント