Se aconseja a las agencias federales de rama ejecutiva civil (FCEB) que actualicen sus instancias de Sitecore para el 25 de septiembre de 2025, luego del descubrimiento de un defecto de seguridad que ha sido de explotación activa en la naturaleza. La vulnerabilidad, rastreada como CVE-2025-53690, tiene una puntuación CVSS de 9.0 de un máximo de 10.0, lo que indica una gravedad crítica. «Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y la nube administrada contienen una deserialización de la vulnerabilidad de datos no confiable que implica el uso de claves de máquina predeterminadas», dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA). «Este defecto permite a los atacantes explotar las claves de la máquina ASP.NET expuestas para lograr la ejecución de código remoto». Mandiant, propiedad de Google, que descubrió el ataque de deserialización de ViewState Active, dijo que la actividad aprovechó una clave de máquina de muestra que había sido expuesta en las guías de implementación de Sitecore de 2017 y anteriormente. El equipo de inteligencia de amenazas no vinculó la actividad con un actor o grupo de amenazas conocido. «La profunda comprensión del atacante del producto comprometido y la vulnerabilidad explotada fue evidente en su progresión desde el compromiso inicial del servidor hasta la escalada de privilegios», dijeron los investigadores Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok y Choon Kiat Ng. El abuso de las claves de la máquina ASP.NET divulgadas públicamente fue documentado por primera vez por Microsoft en febrero de 2025, con el gigante tecnológico observando una actividad de explotación limitada que se remonta a diciembre de 2024, en la que los actores de amenaza desconocidos aprovecharon la clave para entregar el marco de explotación de Godzilla. Luego, en mayo de 2025, Connectwise divulgó una falla de autenticación inadecuada que impacta la pantalla de la pantalla (CVE-2025-3935, puntaje CVSS: 8.1) que, según dijo, había sido explotado en la naturaleza por un actor de amenaza de estado nacional para realizar ataques de inyección de código Viewstate dirigidos a un pequeño conjunto de clientes. Tan recientemente como julio, el corredor de acceso inicial (IAB) conocido como Melody Gold se atribuyó a una campaña que explota las claves de la máquina ASP.NET para obtener acceso no autorizado a las organizaciones y vender ese acceso a otros actores de amenazas. En la cadena de ataque documentada por Mandiant, CVE-2025-53690 se armó para lograr un compromiso inicial de la instancia de Sitecore orientada a Internet, lo que lleva a la implementación de una combinación de herramientas de código abierto y personalizados para facilitar el reconocimiento, el acceso remoto y el reconocimiento de la directorio activo. La carga útil de ViewState entregada con la clave de la máquina de muestra especificada en las guías de implementación disponibles públicamente es un ensamblaje de .NET denominado WeepSteel, que es capaz de recopilar el sistema, la red y la información del usuario, y exfiltrando los detalles al atacante. El malware toma prestado parte de su funcionalidad de una herramienta Python de código abierto llamada ExchangeCmdpy.py. Con el acceso obtenido, se ha encontrado que los atacantes establecen un punto de apoyo, aumentan los privilegios, mantienen la persistencia, realizan el reconocimiento interno de la red y se mueven lateralmente a través de la red, lo que finalmente conduce al robo de datos. Algunas de las herramientas utilizadas durante estas fases se enumeran a continuación: lombriz de tierra para túneles de red utilizando calcetines dwagent para acceso remoto persistente y reconocimiento de activo directorio para identificar controladores de dominio de dominio dentro de la red de destino sharphound para el reconocimiento de activo directorio gotokentheft para enumerar los tokens de usuario únicos activos en el sistema, ejecutando comandos utilizando los tokens de usuarios y enumerar todos los procesos de ejecución de los usuarios de los usuarios de los usuarios de los usuarios de los usuarios de los usuarios de los usuarios. (RDP) Para el movimiento lateral también se ha observado que los actores de amenaza crean cuentas de administrador local (ASP $ y Sawadmin) para volcar las colmenas SAM/sistema en un intento por obtener acceso de credenciales de administrador y facilitar el movimiento lateral a través de RDP. «Con las cuentas del administrador comprometidas, se eliminaron las cuentas ASP $ y Sawadmin creadas anteriormente, lo que indica un cambio a métodos de acceso más estables y encubiertos», agregó Mandiant. Para contrarrestar la amenaza, se recomienda a las organizaciones rotar las claves de la máquina ASP.NET, bloquear las configuraciones y escanear sus entornos para obtener signos de compromiso. «El resultado de CVE-2025-53690 es que un actor de amenaza emprendedor en algún lugar aparentemente ha estado utilizando una clave de máquina ASP.NET estática que se divulgó públicamente en los documentos de productos para obtener acceso a instancias de Sitecore expuestas», Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo a Hacker News. «La vulnerabilidad del día cero surge tanto de la configuración insegura (es decir, el uso de la clave de la máquina estática) como de la exposición pública, y como hemos visto muchas veces antes, los actores de amenaza definitivamente leen documentación. Los defensores que incluso sospechan ligeramente que podrían estar afectados deberían rotar las claves de sus máquinas de inmediato y asegurar, siempre que sea posible, que sus instalaciones de sitios no están expuestas a Internet público». Ryan Dewhurst, jefe de inteligencia de amenazas proactivas en WatchToWr, dijo que el problema es el resultado de que los clientes de Sitecore copen y pegan claves de ejemplo de la documentación oficial, en lugar de generar las únicas y aleatorias. «Cualquier implementación que se ejecute con estas teclas conocidas se dejó expuesta a los ataques de deserialización de ViewState, una ruta recta directa a la ejecución de código remoto (RCE)», agregó Dewhurst. «Sitecore ha confirmado que las nuevas implementaciones ahora generan claves automáticamente y que todos los clientes afectados han sido contactados. El radio de explosión sigue siendo desconocido, pero este error exhibe todas las características que generalmente definen vulnerabilidades severas. El impacto más amplio aún no ha surgido, pero lo hará».