Atores maliciosos vêm explorando uma vulnerabilidade zero-day em implantações legadas do Sitecore para distribuir o malware de reconhecimento WeepSteel.
A falha, catalogada como
CVE-2025-53690
, trata-se de uma vulnerabilidade de deserialização de ViewState, causada pela inclusão de uma sample ASP.NET machine key nos guias do Sitecore anteriores a 2017.
Alguns clientes reutilizaram essa chave em ambientes de produção, permitindo que invasores com conhecimento dela criassem payloads maliciosos válidos em '_VIEWSTATE', que enganavam o servidor para deserializar e executar o código, resultando em execução remota de código (RCE).
A falha não é um bug do ASP.NET em si, mas uma vulnerabilidade de má configuração gerada pela reutilização de chaves publicamente documentadas que nunca deveriam ser usadas em produção.
Pesquisadores da Mandiant, que identificaram essa atividade maliciosa em ambientes reais, relatam que os agentes de ameaça têm explorado a falha em ataques de múltiplas etapas.
Os invasores focam no endpoint '/sitecore/blocked.aspx', que contém um campo ViewState não autenticado, e conseguem RCE sob a conta NETWORK SERVICE do IIS, explorando a
CVE-2025-53690
.
O payload malicioso implantado é o WeepSteel, um backdoor de reconhecimento que coleta informações do sistema, processos, disco e rede, disfarçando a exfiltração como respostas normais de ViewState.
A Mandiant observou a execução de comandos de reconhecimento em ambientes comprometidos, incluindo whoami, hostname, tasklist, ipconfig /all e netstat -ano.
Na etapa seguinte do ataque, os hackers implantaram Earthworm (uma ferramenta de tunneling de rede e proxy reverso SOCKS), Dwagent (uma ferramenta de acesso remoto) e 7-Zip, usado para criar arquivos com os dados roubados.
Posteriormente, eles aumentaram seus privilégios criando contas locais de administrador ('asp$', 'sawadmin'), realizando dumping de credenciais armazenadas em cache (hives SAM e SYSTEM) e tentando a impersonificação de token via GoTokenTheft.
A persistência foi garantida desabilitando a expiração das senhas dessas contas, concedendo acesso RDP e registrando o Dwagent como um serviço SYSTEM.
A
CVE-2025-53690
impacta o Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) e Managed Cloud até a versão 9.0, quando implantados utilizando a *sample* ASP.NET machine key presente na documentação pré-2017.
XM Cloud, Content Hub, CDP, Personalize, OrderCloud, Storefront, Send, Discover, Search e Commerce Server não são afetados.
O Sitecore publicou um boletim de segurança em coordenação com o relatório da Mandiant, alertando que implantações multi-instância que usam machine keys estáticas também estão em risco.
As recomendações para administradores potencialmente impactados são substituir imediatamente todos os valores estáticos de <machineKey> no arquivo web.config por chaves novas e únicas, além de garantir que o elemento <machineKey> dentro do web.config esteja criptografado.
De forma geral, é recomendada a adoção da rotação regular de machine keys estáticas como medida contínua de segurança.
Mais informações sobre como proteger ASP.NET machine keys contra acesso não autorizado podem ser encontradas neste link.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...