Google Warns of Zero-Day Vulnerability in Sitecore Products Allowing Remote Code Execution
2025/09/04 CyberSecurityNews — Sitecore 製品群に存在する深刻なゼロデイ脆弱性により、リモート・コード実行にいたる可能性がある。この脆弱性 CVE-2025-53690 は、ViewState のデシリアライゼーションの欠陥に起因し、現在も積極的に悪用されている。Mandiant の調査により明らかになったのは、2017 年以前の Sitecore 導入ガイドに含まれていた、オープンな ASP.NET マシンキーが、攻撃者により悪用されていたことだ。
これらのキーを悪用する攻撃者は、検証メカニズムを回避しながら、有害な ViewState ペイロードをサーバに送信し、リモート・コード実行を引き起こす可能性がある。
Sitecore は、この脆弱性に対して SC2025-005 と名付け、古い導入ガイドのサンプル・マシンキーを使用していた顧客に影響があることを確認した。
その後に同社は、導入プロセスを更新し、固有のマシンキーが自動的に生成されるようにし、影響を受ける顧客に対して通知した。
影響を受ける製品と攻撃の詳細
この脆弱性は、Sitecore の主要製品の一部に影響を及ぼす可能性があるものだ。具体的には、以下の製品が挙げられる。
Experience Manager (XM)
Experience Platform (XP)
Experience Commerce (XC)
Managed Cloud
なお、XM Cloud/Content Hub/OrderCloud などの製品は影響を受けない。Sitecore がユーザーに推奨するのは、公式アドバイザリで詳細なリストとガイダンスを参照することだ。
Mandiant の迅速な対応により、攻撃のライフサイクル全体が観察される前に阻止が達成され、また、攻撃者の手法に関する重要な知見が得られた。
この攻撃は、インターネットに接続された Sitecore インスタンスにおける、ViewState デシリアライゼーション脆弱性の悪用から始まった。その後に攻撃者は、WEEPSTEEL と呼ばれるカスタム・マルウェアを使用して内部偵察を行った。
このマルウェアは復号された ViewState ペイロードに埋め込まれており、システム/ネットワーク/ユーザー情報を収集し、暗号化して外部に持ち出した。
最初の侵害の後に攻撃者は、足場を広げるためにパブリック・ディレクトリに複数のオープンソース・ツールを配置した。それらには、以下が含まれる。
EARTHWORM:秘密の C2 (Command and Control)チャネルを作成するネットワーク・トンネリング・ツール。
DWAGENT:持続的なアクセスを可能にするリモート・アクセス・ツール。
SHARPHOUND:Active Directory 偵察ツール。
その後に攻撃者は、ローカル管理者アカウントを作成して権限を昇格し、SAM/SYSTEM ハイブから資格情報をダンプし、RDP を使用してネットワークに対するラテラル・ムーブメントを試みた。
この活動を維持するために攻撃者は、DWAGENT をサービスとしてインストールし、パスワードが有効期限切れにならないよう、アカウント設定を変更した。
緩和策
すべての Sitecore ユーザーに対して、Mandiant が推奨するのは、自身の環境を見直し、ASP.NET のセキュリティに関するベスト・プラクティスを実装することだ。
そこに含まれるものには、マシンキーのローテーションの自動化/ViewState Message Authentication Code (MAC) の有効化/平文シークレットの暗号化がある。
その一方で Sitecore は、公式アドバイザリ SC2025-005 において、詳細な修正手順を公開している。
Sitecore が顧客に対して強く推奨するのは、セキュリティ・サポート対象のバージョンを運用していることの確認と、提供されたセキュリティ修正プログラムの、速やかな適用である。
今回の脆弱性の発見が浮き彫りにするのは、本番環境でデフォルト・コンフィグまたはサンプル・コンフィグを使用する危険性であり、また、継続的なセキュリティ監視とプロアクティブなパッチ適用の必要性である。
Sitecore に見つかったゼロデイ脆弱性は、ASP.NET の ViewState デシリアライゼーション処理における欠陥が原因でした。特に問題となったのは、2017 年以前の導入ガイドに記載されていたサンプルのマシンキーが、そのまま利用されていた点です。それを悪用する攻撃者は、署名検証をすり抜け、有害な ViewState ペイロードを送り込むことで、リモート・コード実行を可能にしました。サーバに設定されるキーが固有でなかったために、暗号的に守られるはずの仕組みが形骸化し、結果として内部偵察や権限昇格につながったと、この記事は指摘しています。この脆弱性 CVE-2025-53690 は、CISA KEV にも登録されました。ご利用のチームは、ご注意ください。よろしければ、Sitecore で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.