黑客利用Sitecore零日漏洞部署WeepSteel侦察恶意软件

安全研究人员发现，攻击者近期正利用Sitecore遗留中的一个零日漏洞，部署名为WeepSteel的侦察恶意软件。 

该漏洞编号为CVE-2025-53690，是一种ViewState反序列化漏洞，其成因是2017年前的Sitecore官方指南中包含了一个ASP.NET机器密钥示例。部分客户在生产环境中复用了该密钥，这使得掌握该密钥的攻击者能够构造有效的恶意“_VIEWSTATE”有效载荷，对这些载荷进行反序列化并执行，最终导致远程代码执行（RCE）。

需要明确的是，该漏洞并非ASP.NET本身的问题，而是因复用公开文档中，本不应用于生产环境的密钥所导致的配置错误漏洞。

漏洞利用活动详情

Mandiant研究人员在野外发现了相关恶意活动，他们报告称，攻击者正利用该漏洞实施多阶段攻击。具体流程如下：

1.  初始入侵：攻击者瞄准“/sitecore/blocked.aspx”端点（该端点包含无需身份验证的ViewState字段），借助CVE-2025-53690漏洞，以IIS网络服务（NETWORK SERVICE）账户权限实现远程代码执行。

2.  植入侦察工具：攻击者投放的恶意有效载荷为WeepSteel——这是一款侦察型后门程序，可收集系统、进程、磁盘及网络信息，并将数据窃取行为伪装成标准的ViewState响应。

WeepSteel的信息收集

Mandiant观察到，攻击者在被攻陷环境中执行了多项侦察命令，包括whoami（查看当前用户）、hostname（查看主机名）、tasklist（查看进程列表）、ipconfig /all（查看网络配置）以及netstat -ano（查看网络连接）。

3.  部署后续工具：在攻击的下一阶段，黑客部署了Earthworm（网络隧道与反向SOCKS代理工具）、Dwagent（远程访问工具）以及7-Zip（用于将窃取的数据压缩归档）。

4.  权限提升与持久化：随后，攻击者通过创建本地管理员账户（如“asp$”“sawadmin”）、转储缓存凭证（SAM与SYSTEM注册表 hive）、借助GoTokenTheft工具尝试令牌伪造等方式提升权限；并通过禁用这些账户的密码过期功能、授予远程桌面（RDP）访问权限、将Dwagent注册为系统（SYSTEM）服务等手段，实现持久化控制。

攻击生命周期

针对CVE-2025-53690漏洞建议

CVE-2025-53690漏洞影响Sitecore Experience Manager（XM）、Experience Platform（XP）、Experience Commerce（XC）及Managed Cloud产品，且仅当这些产品（最高版本9.0）使用2017年前文档中包含的ASP.NET机器密钥示例进行部署时才会受影响。

XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search及Commerce Server等产品不受此漏洞影响。

Sitecore已协同Mandiant的报告发布安全公告，警示使用静态机器密钥的多实例部署同样面临风险。针对可能受影响的管理员，建议采取以下措施：

1.  立即将web.config中所有静态值替换为新的唯一密钥；

2.  确保web.config中的元素已加密；

3.  作为常规安全措施，建议定期轮换静态机器密钥。