Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que actualicen sus instancias de Sitecore antes del 25 de septiembre de 2025, tras el descubrimiento de un fallo de seguridad que ha sido objeto de explotación activa en la naturaleza.
El vulnerabilidad , rastreado como CVE-2025-53690 , tiene una puntuación CVSS de 9,0 sobre un máximo de 10,0, lo que indica una gravedad crítica.
«Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y Managed Cloud contienen una vulnerabilidad de deserialización de datos no confiables que implica el uso de claves de máquina predeterminadas», dijo la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) dijo .
«Esta falla permite a los atacantes aprovechar las claves de máquina de ASP.NET expuestas para lograr la ejecución remota de código».
Mandiant, propiedad de Google, que descubrió el ataque de deserialización activo de ViewState, afirmó que la actividad aprovechó una clave de máquina de muestra que había sido expuesta en las guías de implementación de Sitecore de 2017 y anteriores. El equipo de inteligencia sobre amenazas no vinculó la actividad con ningún actor o grupo de amenazas conocido.
«El profundo conocimiento del atacante sobre el producto comprometido y la vulnerabilidad explotada se hizo evidente en su progresión desde el compromiso inicial del servidor hasta la escalada de privilegios», dijeron los investigadores Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok y Choon Kiat Ng dijo .
El abuso de claves de máquina de ASP.NET divulgadas públicamente fue primera documentación de Microsoft en febrero de 2025, cuando el gigante tecnológico observó una actividad de explotación limitada que se remonta a diciembre de 2024, en la que actores de amenazas desconocidos aprovecharon la clave para ofrecer el marco posterior a la explotación de Godzilla.
Luego, en mayo de 2025, ConnectWise divulgado una falla de autenticación indebida que afectó a ScreenConnect (CVE-2025-3935, puntuación CVSS: 8.1) y que, según dijo, había sido explotada de forma espontánea por un actor de amenazas de un estado-nación para llevar a cabo ataques de inyección de código de ViewState dirigidos a un pequeño grupo de clientes.
Hace poco, en julio, el agente de acceso inicial (IAB) conocido como Gold Melody fue atribuido a una campaña que aprovecha las claves de máquina de ASP.NET filtradas para obtener acceso no autorizado a las organizaciones y vender ese acceso a otros actores de amenazas.
En la cadena de ataques documentada por Mandiant, el CVE-2025-53690 se utiliza como arma para lograr el compromiso inicial de la instancia de Sitecore conectada a Internet, lo que lleva al despliegue de una combinación de herramientas personalizadas y de código abierto para facilitar el reconocimiento, el acceso remoto y el reconocimiento de Active Directory.
La carga útil de ViewState que se entrega con la clave de máquina de muestra especificada en las guías de implementación disponibles al público es un ensamblaje.NET denominado WEEPSTEEL, que es capaz de recopilar información del sistema, la red y el usuario, y transferir los detalles al atacante. El malware toma prestadas algunas de sus funciones de una herramienta Python de código abierto denominada ExchangeCmdPy.py.
Con el acceso obtenido, se ha descubierto que los atacantes se afianzan, aumentan los privilegios, mantienen la persistencia, realizan reconocimientos internos de la red y se mueven lateralmente por la red, lo que en última instancia conduce al robo de datos. Algunas de las herramientas utilizadas durante estas fases se enumeran a continuación:
- Lombriz para la construcción de túneles de red mediante SOCKS
- Agente DW para el acceso remoto persistente y el reconocimiento de Active Directory para identificar los controladores de dominio dentro de la red de destino
- Perro afilado para el reconocimiento de Active Directory
- Robo de fichas para enumerar los tokens de usuario únicos activos en el sistema, ejecutar comandos con los tokens de los usuarios y enumerar todos los procesos en ejecución y sus tokens de usuario asociados
- Protocolo de escritorio remoto (RDP) para movimiento lateral
También se ha observado que los actores de amenazas crean cuentas de administrador locales (asp$ y sawadmin) para volcar las colmenas SAM/SYSTEM en un intento de obtener acceso a las credenciales de administrador y facilitar el movimiento lateral a través de RDP.
«Con las cuentas de administrador comprometidas, se eliminaron las cuentas asp$ y sawadmin creadas anteriormente, lo que indica un cambio hacia métodos de acceso más estables y encubiertos», añadió Mandiant.
Para contrarrestar la amenaza, se recomienda a las organizaciones que roten las claves de las máquinas de ASP.NET, bloqueen las configuraciones y analicen sus entornos en busca de señales de riesgo.
«El resultado del CVE-2025-53690 es que, al parecer, un actor de amenazas empresarial de algún lugar ha estado utilizando una clave automática estática de ASP.NET que se divulgó públicamente en la documentación del producto para acceder a las instancias de Sitecore expuestas», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, a The Hacker News.
«La vulnerabilidad de día cero se debe tanto a la configuración insegura en sí misma (es decir, al uso de la clave automática estática) como a la exposición pública y, como hemos visto muchas veces antes, los actores de amenazas no cabe duda de que leen la documentación. Los defensores que tengan la más mínima sospecha de que pueden estar afectados deben cambiar las llaves de sus máquinas de inmediato y asegurarse, siempre que sea posible, de que sus instalaciones de Sitecore no estén expuestas a la Internet pública».
Ryan Dewhurst, director de inteligencia proactiva de amenazas de WatchTowr, dijo que el problema se debe a que los clientes de Sitecore copian y pegan claves de ejemplo de la documentación oficial, en lugar de generar claves únicas y aleatorias.
«Cualquier implementación que se ejecutara con estas claves conocidas quedaba expuesta a los ataques de deserialización de ViewState, un camino directo a la ejecución remota de código (RCE)», agregó Dewhurst.
«Sitecore ha confirmado que las nuevas implementaciones ahora generan claves automáticamente y que se ha contactado con todos los clientes afectados. El radio de explosión sigue sin conocerse, pero este error presenta todas las características que suelen definir las vulnerabilidades graves. El impacto más amplio aún no ha salido a la luz, pero lo hará».