São Paulo — InkDesign News — Uma vulnerabilidade crítica de zero-day, identificada como CVE-2025-53690, está sendo explorada ativamente no Sitecore. Esta falha, proveniente de chaves inseguras antigas, permite que hackers realizem ataques de Execução Remota de Código (RCE) por meio de ataques de desserialização do ViewState.
Incidente e vulnerabilidade
A exploração está relacionada a uma característica conhecida como ViewState, um recurso utilizado no ASP.NET que auxilia websites a recordarem ações do usuário. Os atacantes estão explorando uma séria vulnerabilidade nesse recurso, chamada de ataque de desserialização do ViewState. Essa técnica ocorre quando o servidor, que normalmente confia nas mensagens do ViewState, é enganado para aceitar código malicioso devido ao conhecimento público das chaves de segurança que o protegem.
Conforme relatado, hackers estão usando uma chave que faz parte dos guias de implantação do Sitecore, publicados desde 2017. Ao utilizar essa chave conhecida publicamente, os atacantes conseguem enganar o sistema para aceitar comandos maliciosos, permitindo-lhes executar seu próprio código no servidor — um método conhecido como Execução Remota de Código (RCE).
Impacto e resposta
O ataque, como observado pela Mandiant, segue um processo detalhado em várias etapas. Inicialmente, hackers sondam servidores web antes de focarem em uma página específica do Sitecore que utiliza um formulário ViewState oculto. Após obter acesso, eles rapidamente implantam uma ferramenta de reconhecimento, o malware WEEPSTEEL, para coletar informações críticas sobre o sistema.
Com o acesso inicial garantido, os atacantes passaram a roubar arquivos de configuração sensíveis e, em seguida, implantaram uma série de ferramentas de código aberto para ampliar seu controle. Isso incluiu o EARTHWORM para criar túneis secretos, o DWAGENT para acesso remoto e o SHARPHOUND para mapear a rede. Eles então criaram e usaram novas contas de administrador local para roubar credenciais de usuários, permitindo-lhes se infiltrar ainda mais na rede.
A vulnerabilidade é resultado de um erro simples dos usuários do Sitecore, que copiaram e colaram chaves de exemplo da documentação oficial, em vez de gerar chaves únicas e aleatórias.
(“The issue stems from Sitecore users copying and pasting example keys from official documentation, rather than generating unique, random ones.”)— Ryan Dewhurst, chefe de inteligência proativa, watchTowr
Mitigações recomendadas
O Sitecore confirmou que novas implantações agora gerarão automaticamente chaves únicas, e todos os clientes afetados foram contatados. Além disso, Mandiant e Google foram capazes de interromper os ataques antes que eles se desenrolassem completamente. Contudo, Dewhurst alertou que “o impacto mais amplo ainda não surgiu, mas surgirá”, destacando o potencial para danos mais extenso em um futuro próximo.
As recomendações incluem a atualização para as últimas versões do Sitecore que implementam este patch de segurança e a adoção de práticas recomendadas, como a geração de chaves únicas e aleatórias, bem como medidas de monitoramento constante para detectar comportamentos suspeitos.
Embora as medidas de contenção tenham sido implementadas, os riscos residuais permanecem e organizações devem estar vigilantes para possíveis novas tentativas de exploração.
Fonte: (Hack Read – Segurança Cibernética)
