CVE-2025-53690

Nome do Software Vulnerável e Versões Afetadas Sitecore Experience Manager (XM) versões anteriores a 9.0 Sitecore Experience Platform (XP) versões anteriores a 9.0 Sitecore Experience Commerce (XC) versões anteriores a 9.0 Sitecore Managed Cloud versões anteriores a 9.0 Sitecore Active Directory module versões anteriores a 1.4

Description Um problema envolvendo a desserialização de dados não confiáveis existe em vários produtos Sitecore. Esta falha decorre da reutilização de chaves de máquina ASP.NET de exemplo que foram incluídas nos guias de implantação oficiais antes de 2017. Quando essas chaves de exemplo estáticas são usadas em ambientes de produção, os invasores podem criar payloads VIEWSTATE maliciosos para alcançar a execução remota de código (RCE) sob a conta IIS NETWORK SERVICE. O ataque visa especificamente o endpoint não autenticado '/sitecore/blocked.aspx', que contém um campo ViewState.

Este problema foi explorado por um grupo de ameaça persistente avançada (APT) ligado à China, rastreado como UAT-8837, para infiltrar setores de infraestrutura crítica na América do Norte. Os invasores implantaram o backdoor de reconhecimento WeepSteel para coletar informações de sistema, processos, discos e rede. Após o acesso inicial, o grupo utilizou ferramentas como Earthworm para tunelamento de rede, Dwagent para acesso remoto e SharpHound para reconhecimento do Active Directory para exfiltrar dados sensíveis e estabelecer acesso persistente.

Recommendations Para todas as versões afetadas, substitua imediatamente todos os valores de <machineKey> estáticos no arquivo web.config por chaves novas e exclusivas. Certifique-se de que o elemento <machineKey> dentro do arquivo web.config esteja criptografado. Ative a validação de MAC (Message Authentication Code) do ViewState para evitar o processamento de dados de ViewState manipulados. Implemente a rotação regular de chaves estáticas como uma medida de segurança permanente.