ViewState-Zero-Day in Sitecore (CVE-2025-53690) aktiv ausgenutzt
Google/Mandiant haben eine laufende Angriffskette auf Sitecore-Instanzen untersucht und gestoppt: Angreifer missbrauchten eine ViewState-Deserialisierung über eine öffentlich erreichbare Seite (/sitecore/blocked.aspx), nachdem ein in alten Deploy-Guides veröffentlichter ASP.NET machineKey wiederverwendet wurde – Ergebnis: Remote Code Execution. Sitecore führt die fehleranfällige Konfiguration als CVE-2025-53690 und bestätigt, dass aktuelle Deployments automatisch eindeutige Keys erzeugen sowie betroffene Kunden informiert wurden.
Beobachtete TTPs: Nach der Erstkompromittierung setzten die Täter u. a. das Recon-Tool WEEPSTEEL, den Tunneler EARTHWORM und DWAgent für persistente Fernzugriffe ein; es kam zu Konto-Anlagen, SAM/SYSTEM-Dumping und AD-Reconnaissance (SharpHound).
Empfehlungen:
- Prüfen, ob irgendwo noch Beispiel- oder statische machineKeys genutzt werden; Schlüssel rotieren, ViewState MAC erzwingen und Secrets in
web.configschützen. - Sitecore-Advisories/Hotfixes gemäß SC2025-00x einspielen (je nach Version/Produkt).
- Telemetrie/Logs auf auffällige POSTs zu
blocked.aspx, neue Admin-Konten und die genannten Tools/IoCs prüfen.
Stand: 4. September 2025 (CEST).