CVE-2025-53690: Vulnerabilidad crítica zero-day en Sitecore XM/XP
Admin
September 9, 2025
Translate to:
Gravedad: Crítica (CVSS 9.0)
Tipo: Deserialización insegura de ViewState en ASP.NET (Remote Code Execution/RCE)
Fecha detección: Septiembre 2025
Estado: Explotación activa en campañas dirigidas. Parche y mitigaciones disponibles.
Productos afectados:
Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), Managed Cloud.
Especial riesgo en versiones XP 9.0, AD 1.4 y anteriores con machine keys estáticas.
Investigadores: Google Mandiant, CISA, Sitecore.
Tipo: Deserialización insegura de ViewState en ASP.NET (Remote Code Execution/RCE)
Fecha detección: Septiembre 2025
Estado: Explotación activa en campañas dirigidas. Parche y mitigaciones disponibles.
Productos afectados:
Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), Managed Cloud.
Especial riesgo en versiones XP 9.0, AD 1.4 y anteriores con machine keys estáticas.
Investigadores: Google Mandiant, CISA, Sitecore.
Descripción técnica
- La vulnerabilidad se debe al uso de machine keys estáticas de ejemplo, incluidas en guías y configuraciones antiguas (previas a 2017).
- Un atacante puede forjar y manipular ViewState en aplicaciones ASP.NET ejecutando código remoto (RCE) a través de la deserialización insegura.
- Permite acceso total a la instancia Sitecore expuesta a internet, con compromiso de confidencialidad, integridad y disponibilidad.
- La explotación real observada desplegó herramientas como WEEPSTEEL (reconocimiento interno), EARTHWORM (túnel, lateral movement), DWAGENT (RAT) y SHARPHOUND (reconocimiento AD).
- Los atacantes crearon cuentas administrativas locales, realizaron extracción de credenciales y escalaron lateralmente usando RDP.
Impacto
- Ejecución remota de código en el servidor Sitecore, persistencia de malware y exfiltración de archivos sensibles (
web.config). - Robo de credenciales administrativas y movimiento lateral dentro de la red.
- Compromiso total de integridad, confidencialidad y disponibilidad.
- Creación de puertas traseras, cuentas y acceso remoto persistente en la organización.
Detección y mitigación
- Actualizar Sitecore a versiones que generen machine keys únicas (desde mitad de 2023 la generación es automática).
- Si existe uso de claves por defecto o incluidas en documentación, rotarlas inmediatamente y asegurarse que sean únicas y aleatorias.
- Limitar el acceso público directo a instancias Sitecore y reforzar controles de red.
- Revisar logs y buscar herramientas sospechosas (WEEPSTEEL, DWAGENT, EARTHWORM, SHARPHOUND).
- Aplicar threat hunting proactivo y saneamiento de configuraciones obsoletas.
- Sitecore ha contactado a clientes afectados y recomienda comprobaciones regulares de configuración.
Resumen técnico
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2025-53690 |
| Vector | Deserialización de ViewState manipulada vía máquina key débil/expuesta |
| Impacto | Remote Code Execution, robo y dumping de credenciales, malware persistente |
| Explotabilidad | Activa, campañas dirigidas globales (malas prácticas de config.) |
| Versiones afectadas | XM, XP, XC, Managed Cloud — con machine keys estáticas (XP 9.0, AD 1.4 y previas) |
| Parche disponible | Sí, desde segunda mitad de 2023 (machine key autogenerada exclusivamente) |
| Mitigación | Actualizar, rotar keys, limitar exposición, actividad forense y threat hunting |
Recomendación urgente:
Verifica y rota todas las machine keys configuradas manualmente.
Actualiza Sitecore a la última versión y revisa la exposición de instancias.
Despliega monitoreo avanzado y threat hunting si tu entorno fue expuesto.
Verifica y rota todas las machine keys configuradas manualmente.
Actualiza Sitecore a la última versión y revisa la exposición de instancias.
Despliega monitoreo avanzado y threat hunting si tu entorno fue expuesto.
Comments (0)
No comments yet. Be the first to comment!