ViewState-Zero-Day in Sitecore (CVE-2025-53690) aktiv ausgenutzt

Google/Mandiant haben eine laufende Angriffskette auf Sitecore-Instanzen untersucht und gestoppt: Angreifer missbrauchten eine ViewState-Deserialisierung über eine öffentlich erreichbare Seite (/sitecore/blocked.aspx), nachdem ein in alten Deploy-Guides veröffentlichter ASP.NET machineKey wiederverwendet wurde – Ergebnis: Remote Code Execution. Sitecore führt die fehleranfällige Konfiguration als CVE-2025-53690 und bestätigt, dass aktuelle Deployments automatisch eindeutige Keys erzeugen sowie betroffene Kunden informiert wurden.

Beobachtete TTPs: Nach der Erstkompromittierung setzten die Täter u. a. das Recon-Tool WEEPSTEEL, den Tunneler EARTHWORM und DWAgent für persistente Fernzugriffe ein; es kam zu Konto-Anlagen, SAM/SYSTEM-Dumping und AD-Reconnaissance (SharpHound).

Empfehlungen:

  • Prüfen, ob irgendwo noch Beispiel- oder statische machineKeys genutzt werden; Schlüssel rotieren, ViewState MAC erzwingen und Secrets in web.config schützen.
  • Sitecore-Advisories/Hotfixes gemäß SC2025-00x einspielen (je nach Version/Produkt).
  • Telemetrie/Logs auf auffällige POSTs zu blocked.aspx, neue Admin-Konten und die genannten Tools/IoCs prüfen.

Stand: 4. September 2025 (CEST).

Related Posts

Datenleck bei Ferienwohnungen.de – Angreifer veröffentlichen Backups im Darknet

Beim Online-Buchungsportal Ferienwohnungen.de ist offenbar ein massiver Datendiebstahl passiert. Die Cybergruppe Safepay behauptet, in die Systeme eingebrochen zu sein und hat inzwischen ein umfangreiches Datenpaket im Darknet veröffentlicht.

Read More

Kritische Sicherheitslücke in ImageMagick-BMP-Encoder (CVE-2025-57803)

In ImageMagick wurde die schwerwiegende Sicherheitslücke CVE-2025-57803 entdeckt, die ausschließlich 32-Bit-Builds betrifft. Ursache ist ein Integer Overflow in der Berechnung der BMP-Scanline-Strides (Funktion WriteBMPImage), der zu einem Heap Buffer Overflow führen kann.

Read More

Lokale Rechteausweitung in Acronis Cyber Protect Cloud Agent (CVE-2025-9578)

Im Acronis Cyber Protect Cloud Agent für Windows wurde eine Sicherheitslücke mit hoher Einstufung entdeckt. Ursache sind unsichere Ordnerberechtigungen, die es Angreifern mit lokalem Zugriff ermöglichen, ihre Rechte im System zu erweitern.

Read More