Los analistas de seguridad del equipo de defensa de amenazas Mandiant han interrumpido un ataque que explota una vulnerabilidad de día cero en Sitecore, un sistema popular de gestión de contenido (CMS) utilizado por compañías como HSBC, L’Oréal, Toyota y United Airlines. En un informe publicado el 3 de septiembre, Mandiant, parte de Google Cloud, dijo que el ataque apalancó las claves de la máquina ASP.NET expuestas en las guías de implementación de Sitecore de 2017 y anteriormente para realizar la ejecución de código remoto (RCE). ASP.NET es un marco de aplicaciones web desarrollado por Microsoft para crear sitios web dinámicos, aplicaciones web e interfaces de programación de aplicaciones (API). Las claves de la máquina ASP.NET son claves criptográficas utilizadas para asegurar operaciones críticas en aplicaciones ASP.NET. Estas claves de la máquina se expusieron debido a una vulnerabilidad de deserialización de Viewstate en Sitecore Experience Manager (XM) y Sitecore Experience Platform (XP). Ryan Dewhurst, jefe de inteligencia de amenazas proactivas en Watchtowr, comentó: «El problema proviene de los usuarios de Sitecore que copian y pegan las claves de ejemplo de la documentación oficial, en lugar de generar las únicas y aleatorias, un movimiento que no recomendamos». Mandiant informó el defecto a Sitecore. Wiz, una autoridad de numeración de vulnerabilidades y exposiciones (CVE) comunes (CNA), lo reveló públicamente el 3 de septiembre como CVE-2025-53690, con una calificación de puntaje de gravedad (CVSS) de 9.0 (crítico). Cuando se explota, CVE-2025-53690 permite la inyección de código en Sitecore XM y Sitecore XP hasta la versión 9.0. Mandiant declaró que la vulnerabilidad afecta a los clientes que desplegaron cualquier versión de múltiples productos Sitecore utilizando la clave de muestra expuesta en guías de implementación disponibles públicamente (específicamente Sitecore XP 9.0 y Active Directory 1.4 y versiones anteriores). La cadena de ataque que explota el equipo de respuesta rápida de Sitecore Flaw Mandiant interrumpió el ataque antes de que se pudiera observar su ciclo de vida completo, pero la investigación aún descubrió tácticas adversas clave. El actor de amenaza demostró un conocimiento sofisticado del producto objetivo y sus vulnerabilidades, ejecutando una cadena de ataque metódica: Acceso inicial: CVE-2025-53690 explotado en una instancia de Sitecore, logrando el reconocimiento de RCE y el robo de datos: malware de llanto desplegado a través de una carga de pago de vista descriptada para la carga de pago interna; archivado el directorio root de la aplicación web, probablemente dirigida a archivos confidenciales, como web.config; Persistencia de reconocimiento de host y red realizada: se colocan herramientas adicionales en un directorio público, incluida la lombriz de tierra (túnel de red de código abierto), Dwagent (troyano de acceso remoto de código abierto) y Sharphound (reconocimiento de AD de código abierto) escalado de privilegios y movimiento lateral: creó cuentas de administración locales y colegas de Sam/System, de excedentes de AD de cosecha; usó RDP para el movimiento lateral después del compromiso de la credencial; Mantenida persistencia a través de Dwagent mientras realiza el impacto de ataque de reconocimiento de Active Directory todavía desconocido de Sitecore Mandiant que sus últimas implementaciones ahora generan automáticamente claves de máquinas y clientes impactados. El proveedor de CMS también publicó un aviso de seguridad el 3 de septiembre asesorando a sus clientes sobre cómo mitigar esta amenaza. Caitlin Condon, vicepresidente de investigación de seguridad en Vulncheck, dijo que este ataque es otra evidencia de que «los actores de amenaza definitivamente leen documentación». «La vulnerabilidad del día cero surge tanto de la configuración insegura en sí (es decir, el uso de la clave de la máquina estática) como de la exposición pública. Los defensores que incluso sospechan ligeramente que podrían estar afectados deben rotar sus claves de la máquina de inmediato y garantizar, siempre que sea posible, que sus instalaciones de Sitecore no estén expuestas a Internet público», aconsejó. Sin embargo, también destacó que las claves giratorias y las configuraciones de bloqueo no son suficientes por sí solas si los actores de amenaza pudieron acceder a la red de una organización. «Los equipos de seguridad y caza de amenazas necesitarán examinar los entornos en busca de signos de compromiso, particularmente porque la investigación de Mandiant descubrió que el actor de amenaza había desplegado malware y herramientas adicionales orientadas al reconocimiento interno y la persistencia en uno o más entornos comprometidos», agregó. Dewhurst de Watchtowr dijo que, en esta etapa, el radio de explosión del ataque sigue siendo desconocido. «Pero este error exhibe todas las características que generalmente definen vulnerabilidades severas. El impacto más amplio aún no ha surgido, pero lo hará», argumentó. Este nuevo ataque se produce tres meses después de que WatchToWr reveló siete vulnerabilidades en productos Sitecore que podrían estar encadenados en un ataque a gran escala.