تم اكتشاف ثغرة خطيرة من نوع “يوم الصفر” في عدة منتجات من Sitecore، مما قد يسمح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد. تُعرف هذه الثغرة باسم CVE-2025-53690 وتنشأ من مشكلة في تسلسل ViewState، وقد تم استغلالها بنشاط. ترتبط الثغرة بمفاتيح ASP.NET المكشوفة التي تم تضمينها في أدلة نشر Sitecore القديمة من عام 2017 وما قبله. تُمكِّن هذه المفاتيح المهاجمين من تجاوز التحقق وإرسال حمولات ViewState ضارة، مما يؤدي إلى تنفيذ التعليمات البرمجية. وقد اعترفت Sitecore بالمشكلة، التي أطلقت عليها الرمز SC2025-005، والتي تؤثر على العملاء الذين استخدموا المفاتيح القديمة. قامت الشركة بتحديث عمليات النشر الخاصة بها لتوليد مفاتيح فريدة وأبلغت العملاء المتضررين.
تؤثر الثغرة على منتجات رئيسية مثل Experience Manager وExperience Platform وExperience Commerce وManaged Cloud، بينما تظل XM Cloud وContent Hub وOrderCloud غير متأثرة. حثت Sitecore عملاءها على الرجوع إلى نصيحتها الرسمية للحصول على إرشادات مفصلة. وكشفت تحقيقات Mandiant أن المهاجمين استغلوا الثغرة في إحدى حالات Sitecore المواجهة للإنترنت باستخدام برمجيات خبيثة مخصصة، WEEPSTEEL، للاستطلاع الداخلي. قامت البرمجيات الخبيثة بجمع وتصدير معلومات النظام والشبكة والمستخدم. بعد الاختراق الأولي، استخدم المهاجمون أدوات مثل EARTHWORM لإنشاء أنفاق شبكية، وDWAGENT للوصول عن بُعد، وSHARPHOUND للاستطلاع في Active Directory. قاموا بتصعيد الامتيازات عن طريق إنشاء حسابات مدير محلي وحاولوا استخراج بيانات الاعتماد لتسهيل الحركة الجانبية باستخدام RDP. تم تثبيت DWAGENT كخدمة للحفاظ على الوصول.
لتقليل المخاطر، تنصح Mandiant بمراجعة البيئات وتنفيذ أفضل ممارسات أمان ASP.NET، بما في ذلك أتمتة تدوير مفاتيح الآلة وتمكين كود مصادقة رسالة حالة العرض (MAC). قدمت Sitecore تعليمات تفصيلية للتصحيح في نصيحتها SC2025-005 وتحث العملاء على تطبيق جميع الإصلاحات الأمنية على الفور. يبرز هذا الاكتشاف مخاطر استخدام التكوينات الافتراضية في الإنتاج وأهمية المراقبة الأمنية المستمرة والتحديث الاستباقي.
