في الرابع من سبتمبر 2025، تم اكتشاف ثغرة أمنية خطيرة من نوع “يوم الصفر” في منتجات Sitecore، وتم تحديدها برمز CVE-2025-53690. سمحت هذه الثغرة للمهاجمين باستغلال مفاتيح ASP.NET لتنفيذ حمولات ViewState ضارة، مما أدى إلى تنفيذ تعليمات برمجية عن بُعد واختراق واسع النطاق للشبكات. وقد ارتبطت هذه الثغرة بأدلة نشر قديمة، مما أثر على العديد من البيئات المحلية والبيئات المدارة من قبل العملاء، مما أدى إلى إصدار تحذيرات وتحديثات عاجلة من Sitecore.
نشأت المشكلة من استخدام قيم ثابتة لـ
بمجرد إلغاء التسلسل، قامت الحمولة بتفعيل مكتبة .NET تسمى WEEPSTEEL، لجمع معلومات النظام والشبكة. وقامت البرمجية الخبيثة بتسلسل هذه البيانات إلى JSON، متخفية في شكل بيانات ViewState غير ضارة لأغراض الاستخراج. مما سمح للمهاجمين برسم خريطة لبيئة الضحية بشكل سري.
بعد تنفيذ التعليمات البرمجية الأولية تحت حساب NETWORK SERVICE، قام المهاجمون بأرشفة جذر الويب، مستهدفين الملفات الحساسة لاستخراج أسرار التكوين. وقدمت أوامر الاستطلاع معلومات تفصيلية عن بيئة العمل، بينما استخدمت الأدلة العامة لتجهيز أدوات مثل EARTHWORM وDWAGENT وSHARPHOUND.
تم تحقيق تصعيد الامتيازات من خلال إنشاء حسابات مسؤول محلية مخادعة لاستخراج تجزئات كلمات المرور والحصول على بيانات اعتماد على مستوى النطاق. وباستخدام بيانات اعتماد المسؤول الصالحة، تنقل المهاجمون عبر الأجهزة المضيفة عبر RDP، وأجروا اكتشافات داخلية وأزالوا الحسابات المؤقتة لإخفاء آثارهم.
استجابت Sitecore بنشر نشرة أمنية SC2025-005، ناصحة العملاء بالتحقق من أي شذوذ وتدوير مفاتيح الآلة الثابتة. وشملت التوصيات أتمتة تدوير مفاتيح الآلة، وتمكين MAC والتشفير لViewState، وتأمين ملفات التكوين، ومراقبة مؤشرات الاختراق.
يُحث المؤسسات التي تستخدم تطبيقات ASP.NET على تطبيق هذه الدروس بشكل واسع لحماية نفسها من تهديدات إلغاء التسلسل وحقن التعليمات البرمجية. من خلال معالجة الإغفالات في التكوين واعتماد ممارسات قوية لإدارة المفاتيح، يمكن لعملاء Sitecore تعزيز دفاعاتهم ضد الخصوم المتقدمين الذين يستهدفون الثغرات في طبقة التطبيقات.
