近期,美国网络安全和基础设施安全局(CISA)向联邦民用执行部门下达紧急通知,要求其在2025年9月25日前更新Sitecore系统实例,以防范一项高危安全漏洞带来的威胁。此次暴露的漏洞编号为CVE-2025-53690,其严重等级被国际通用的CVSS评分系统评定为9.0分(满分10分),意味着其潜在威胁极具破坏性。Sitecore旗下多个重要产品线,包括体验管理器(Experience Manager XM)、体验平台(Experience Platform XP)、体验商务(Experience Commerce XC)以及托管云服务均存在反序列化未受信数据的安全缺陷,核心原因在于默认机器密钥的使用不当。反序列化漏洞是一类因系统接受并执行未可信的外部数据格式而引发的安全隐患,黑客可借此进行远程代码执行(RCE),从而完全控制目标服务器。此次事件源于ASP.NET机器密钥被曝露且未作独立更换,攻击者借助公开的示例机器密钥成功绕过防御,导致多起服务器被攻破。Google旗下安全公司Mandiant率先披露攻击链详情,发现黑客利用公开部署文档中遗留的示例机器密钥发起ViewState反序列化攻击。
ViewState是ASP.NET框架中保存页面状态的重要机制,若遭到利用即可能允许执行恶意代码。Mandiant的安全研究团队罗列了攻击者在夺取服务器控制权后所使用的多种开源及定制化工具,包括用于网络侦察、远程访问和主动目录信息获取的工具,对受害主机进行了全面渗透。黑客操作遂步升级,不仅实现初始侵入,还通过特权提升、持久化植入、横向渗透和数据窃取等手段,深度控制被攻网络。与此类似,微软早在2025年2月已确认ASP.NET机器密钥泄露的风险,尽管当时仅观测到零星的攻击事件,但自2024年12月起,攻击手法已现萌芽,部分未知黑客团体开始利用被泄露的密钥传播名为Godzilla的后渗透攻击框架。紧接着Gladinet CentreStack产品也曝出相似的安全瑕疵(CVE-2025-30406),同样因机器密钥防护不足而引发远程代码执行风险。在此之上,ConnectWise旗下ScreenConnect远程管理平台五月份亦曝出认证缺陷(CVE-2025-3935),被指出已有国家级黑客组织利用该漏洞发动ViewState代码注入攻击。
七月份更有名为Gold Melody的初始访问经纪人(IAB)利用公开的ASP.NET机器密钥开展攻击行动,非法入侵企业网络并以此获取的访问权限出售给其他威胁行为者。此次攻击链的核心在于攻击者借助CVE-2025-53690实现Sitecore网络边界系统的初步攻陷,其后借助多款工具采集系统、网络及用户信息,其中Payload载荷为一个名为WEEPSTEEL的.NET程序集,能高效搜集情报并外传,部分功能源自Python开源工具ExchangeCmdPy.py。黑客借助此网络后门持续扩展影响力,借助EarthWorm实现网络隧道通信,通过DWAgent实现远程持久化访问及主动目录侦察,利用SharpHound深入分析域环境,还通过GoTokenTheft收集并利用用户令牌,加速命令执行及进程探测。远程桌面协议(RDP)被频繁用于横向移动,攻击者传统手法创建本地管理员账户如asp$及sawadmin,导出系统凭据进行后续侵入。值得注意的是,初期建立管理员账户一旦完成初步操纵,黑客通常会删除这些账户以掩盖痕迹,实现更隐秘的持续控制。安全专家建议,面对如此严峻威胁,相关组织必须立即更换默认机器密钥,完善系统配置,并开展全面的安全审计,对现有网络环境进行威胁检测和入侵痕迹排查。
防护上,生成唯一且随机的ASP.NET机器密钥是避免类似攻击的关键,同时切断公共互联网对Sitecore控制面板和管理界面的直接访问,强化身份认证和网络隔离措施至关重要。研究员指出,此漏洞的成因不仅是配置错误,更因为文档中示例密钥被照搬至实际环境,缺乏安全意识和最佳实践,使攻击者得以轻易利用。企业应从根本上提升对安全配置的重视,定期更新密钥和补丁,并借助自动化工具持续监控异常行为。Sitecore官方已承认问题并发布补丁,同时向受影响客户发出安全通知,确保各方迅速响应减少潜在损害。虽然当前完整的影响范围尚未统计,但业内专家一致认为此漏洞具备大范围爆发潜力,稍有疏忽便可能引发严重安全事故。展望未来,网络安全威胁呈现出多样化和复杂化趋势,尤其针对CMS系统的攻击日趋精准和隐蔽。
此次事件提醒企业在选择和部署关键基础设施时,必须强化安全配置操作规程,摒弃默认凭据,及时关注厂商公告,快速应用安全补丁。网络安全是一场持续不断的防御战,唯有通过多层面防护、持续安全教育和快速响应,方能有效抵御黑客攻击,保障组织数字资产的安全完整。CISA的紧急响应行动为业界敲响警钟,亦展现了政府和安全社群携手遏制威胁的重要性。随着安全态势的不断演变,企业和用户需保持高度警惕,及时采取有效措施,筑牢信息安全防线。 。
