El ataque relacionado con la vulnerabilidad CVE-2025-53690 en Sitecore es un proceso multi-fase que aprovecha una clave de máquina predeterminada o expuesta para lograr la ejecución remota de código (RCE). Aquí te explico paso a paso cómo el atacante lleva a cabo la explotación, basado en la información detallada de los informes de Mandiant y otros .
🔍 Fase 1: Reconocimiento Externo
El atacante primero identifica servidores Sitecore expuestos en Internet. Esto puede hacerse usando motores de búsqueda como Shodan con consultas como http.title:"sitecore" .
- Objetivo: Encontrar instancias de Sitecore accesibles, específicamente buscando el endpoint
/sitecore/blocked.aspx, que es una página legítima pero que, al ser accesible sin autenticación y utilizar ViewState, se convierte en el objetivo principal para el ataque de deserialización .
⚙️ Fase 2: Preparación del Payload Malicioso
Con el objetivo identificado, el atacante prepara el payload malicioso.
- Herramienta clave: Utiliza herramientas públicas como ysoserial.net , diseñada para generar payloads de deserialización maliciosos en .NET.
- Clave de Máquina: El exploit solo es posible si el atacante conoce la clave de máquina (machine key) utilizada por el servidor objetivo. Sitecore, en sus guías de implementación antiguas (2017 y anteriores), proporcionaba una clave de muestra que muchos entornos terminaron usando en producción. Si el servidor vulnerable usa esta clave predeterminada o cualquier otra clave que haya sido expuesta, el atacante puede usarla para firmar y cifrar un payload malicioso de ViewState, engañando al servidor para que lo acepte como legítimo .
- Payload: El payload generado contiene código .NET serializado diseñado para ejecutar comandos arbitrarios en el servidor. En los ataques observados, este payload incorporaba un ensamblado malicioso llamado
Information.dll, que Mandiant trackea como WEEPSTEEL .
💥 Fase 3: Explotación y Ejecución del Código (Initial Compromise)
El atacante envía el payload malicioso al servidor.
- Vector de Ataque: Realiza una petición HTTP POST al endpoint
/sitecore/blocked.aspx, incluyendo en los datos del formulario el payload malicioso dentro del campo__VIEWSTATE. - Deserialización Insegura: El servidor, al no validar correctamente la integridad del ViewState (debido a que conoce y confía en la clave de máquina usada para firmarlo), deserializa el contenido malicioso. Este proceso de deserialización ejecuta el código incrustado en el payload .
- Resultado: El atacante consigue ejecución remota de código (RCE) en el contexto del proceso de la aplicación web (w3wp.exe), que típicamente tiene privilegios de
NETWORK SERVICE.
📡 Fase 4: Reconocimiento Interno y Exfiltración (WEEPSTEEL)
Tras gaining acceso, el primer objetivo es entender el entorno comprometido.
- WEEPSTEEL: El payload inicial (
Information.dll) actúa como un tool de reconocimiento. Está diseñado para recopilar y exfiltrar información sensible del sistema :- Directorio raíz de la aplicación web.
- Información del sistema operativo.
- Discos, adaptadores de red y procesos en ejecución.
- Configuración de red (
ipconfig /all,netstat -ano).
- Método de Exfiltración: La información robada es serializada en JSON, cifrada con la misma clave de máquina, codificada en base64 y enviada de vuelta al atacante oculta dentro de otro campo
__VIEWSTATEen la respuesta HTTP, camuflándose así con el tráfico legítimo .
🛠️ Fase 5: Establecimiento de Foothold y Movimiento Lateral
Con la información recopilada, el atacante fortalece su acceso y se mueve lateralmente.
- Extracción de Configuración: El atacante archive el directorio raíz de la web (ej.
\inetpub\sitecore\...) para obtener archivos críticos comoweb.config, que puede contener más claves, cadenas de conexión a bases de datos y otra información sensible . - Descarga de Herramientas: El atacante crea un directorio de staging, often en carpetas públicas como
C:\Users\Public\Music\, para descargar utilities y herramientas maliciosas:- 7za.exe: Versión de 7-Zip para comprimir y descomprimir datos robados .
- EARTHWORM: Herramienta de tunneling de código abierto para crear proxies SOCKS y redirigir tráfico, evadiendo controles de red y gaining acceso a sistemas internos .
- DWAgent: Un agente de acceso remoto de código abierto que proporciona persistencia y control continuo sobre el sistema comprometido .
- SHARPHOUND: Herramienta de reconocimiento de Active Directory que colecciona información sobre relaciones de confianza, usuarios, grupos y permisos dentro de un dominio Windows .
⬆️ Fase 6: Escalada de Privilegios
El objetivo ahora es obtener privilegios más elevados (SYSTEM o administrador del dominio).
- Creación de Usuarios Maliciosos: El atacante crea cuentas de administrador local con nombres que intentan pasar desapercibidos, como
asp$osawadmin.bash net user asp$ [Password] /add net localgroup administrators asp$ /add - Robo de Credenciales: Utiliza herramientas como GoTokenTheft (una utilidad pública escrita en Go para robar tokens de acceso de otros procesos) o realiza volcado de las bases de datos de credenciales del sistema (SAM/SYSTEM) para obtener hashes de contraseñas y crackearlas, o realizar Pass-the-Hash attacks .
- Reconocimiento de Active Directory: Con SHARPHOUND, el atacante mapea el dominio, identificando cuentas de administrador de dominio, controladores de dominio y relaciones de confianza para planificar su movimiento lateral y el compromiso de toda la red .
🧭 Fase 7: Movimiento Lateral y Persistencia
- Acceso RDP: Con credenciales de administrador local o de dominio robadas, el atacante puede iniciar sesiones Remote Desktop Protocol (RDP) en otros sistemas de la red, expandiendo su control .
- Persistencia: Herramientas como DWAgent se instalan como servicios para mantener acceso persistente al sistema, incluso si la vulnerabilidad original es parcheada .
- Exfiltración de Datos: Desde los sistemas comprometidos, el atacante puede buscar y robar información confidencial (datos de clientes, propiedad intelectual, etc.) y exfiltrarla de la red utilizando el túnel creado con EARTHWORM .
💀 ¿Por Qué Esta Cadena de Ataque es Tan Peligrosa?
Esta vulnerabilidad y su explotación son extremadamente peligrosas debido a varios factores clave:
- Acceso Remoto Sin Autenticación: La explotación no requiere credenciales ni interacción del usuario, permitiendo a atacantes remotos desconocidos obtener un punto de apoyo inicial .
- Alto Impacto y Alcance (Criticalidad CVSS 9.0): Conduce directamente a la ejecución remota de código, comprometiendo completamente la confidencialidad, integridad y disponibilidad del sistema .
- Aprovechamiento de Configuraciones Débiles Pre-existentes: Explota el uso de una clave de máquina predeterminada, un error de configuración común que puede persistir durante años sin ser detectado .
- Dificultad de Detección: Las técnicas de exfiltración de datos camufladas dentro del tráfico legítimo de ViewState y la creación de cuentas con nombres que imitan a servicios legítimos (
asp$) dificultan que los equipos de seguridad detecten la intrusión . - Potencial para Compromiso Total de la Red: No se limita a un solo servidor. La capacidad de realizar reconocimiento de AD, movimiento lateral y robo de credenciales de dominio puede llevar al compromiso completo de la infraestructura IT de una organización .
📋 Tabla Resumen de las Herramientas y Su Uso Malicioso
| Herramienta | Tipo | Uso por el Atacante | Peligro / Impacto |
|---|---|---|---|
| ysoserial.net | Generador de Payloads | Genera el payload malicioso de .NET serializado para explotar la deserialización. | Facilita la explotación inicial sin necesidad de desarrollar herramientas custom. |
| WEEPSTEEL | Malware de Reconocimiento | Recopila y exfiltrar información crítica del sistema comprometido. | Pérdida de confidencialidad, sentando las bases para ataques más avanzados. |
| 7za.exe | Utilidad de Compresión | Comprime archivos y datos robados para su exfiltración. | Permite empaquetar grandes volúmenes de datos de forma eficiente para robo. |
| EARTHWORM | Herramienta de Tunneling | Crea túneles de red y proxies SOCKS para redirigir tráfico y evadir restricciones de firewall. | Evidencia de controles de seguridad, enabling acceso a redes internas y exfiltración sigilosa. |
| DWAgent | Agente de Acceso Remoto | Proporciona acceso persistente y control remoto sobre el sistema comprometido. | Persistencia a largo plazo, allowing control continuo incluso después de parchear la vulnerabilidad inicial. |
| SHARPHOUND | Herramienta de Reconocimiento | Colecciona información detallada de Active Directory (usuarios, grupos, relaciones de confianza). | Habilita el movimiento lateral y el compromiso de dominio completo. |
| GoTokenTheft | Utilidad de Robo de Tokens | Intenta robar tokens de seguridad de otros procesos para escalar privilegios. | Escalada de privilegios, potentially gaining SYSTEM or domain admin rights. |
Conclusión
La explotación de CVE-2025-53690 es un ejemplo claro de cómo un error de configuración aparentemente simple (usar una clave predeterminada) puede combinarse con una vulnerabilidad técnica (deserialización insegura) para crear un vector de ataque crítico. La cadena de acciones posteriores a la explotación demuestra la sofisticación y el peligro que representan los atacantes modernos, cuyo objetivo final rarely se limita a un solo servidor, sino al control total de la red.
La mitigación más efectiva es aplicar inmediatamente el parche de Sitecore y rotar las claves de máquina por unas únicas, fuertes y seguras . Además, es crucial implementar medidas de detección y respuesta (XDR) que monitoricen actividades sospechosas como la creación de cuentas inusuales, el uso de herramientas de reconocimiento como SHARPHOUND o intentos de acceso lateral.
