Google/Mandiant haben eine laufende Angriffskette auf Sitecore-Instanzen untersucht und gestoppt: Angreifer missbrauchten eine ViewState-Deserialisierung über eine öffentlich erreichbare Seite (/sitecore/blocked.aspx), nachdem ein in alten Deploy-Guides veröffentlichter ASP.NET machineKey wiederverwendet wurde – Ergebnis: Remote Code Execution. Sitecore führt die fehleranfällige Konfiguration als CVE-2025-53690 und bestätigt, dass aktuelle Deployments automatisch eindeutige Keys erzeugen sowie betroffene Kunden informiert wurden.
Beobachtete TTPs: Nach der Erstkompromittierung setzten die Täter u. a. das Recon-Tool WEEPSTEEL, den Tunneler EARTHWORM und DWAgent für persistente Fernzugriffe ein; es kam zu Konto-Anlagen, SAM/SYSTEM-Dumping und AD-Reconnaissance (SharpHound).
Empfehlungen:
- Prüfen, ob irgendwo noch Beispiel- oder statische machineKeys genutzt werden; Schlüssel rotieren, ViewState MAC erzwingen und Secrets in
web.configschützen. - Sitecore-Advisories/Hotfixes gemäß SC2025-00x einspielen (je nach Version/Produkt).
- Telemetrie/Logs auf auffällige POSTs zu
blocked.aspx, neue Admin-Konten und die genannten Tools/IoCs prüfen.
Stand: 4. September 2025 (CEST).
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: