Mario Lattice Un errore di configurazione, nato da vecchie guide di installazione, ha spalancato le porte di numerosi sistemi basati su Sitecore. Degli hacker stanno sfruttando attivamente una vulnerabilità zero-day, tracciata come CVE-2025-53690, per installare una backdoor di spionaggio nota come WeepSteel, mettendo a rischio i dati aziendali.
L’attacco: da una guida obsoleta al controllo del sistema
La falla non risiede nel software Sitecore in sé, ma in una pratica pericolosa: l’utilizzo in produzione di una chiave macchina ASP.NET di esempio, inclusa nella documentazione ufficiale antecedente al 2017. Questa chiave, pensata solo per scopi dimostrativi, è diventata il grimaldello per gli aggressori.
Secondo i ricercatori di Mandiant, che hanno scoperto e analizzato l’attacco, gli hacker creano payload _VIEWSTATE malevoli firmati con questa chiave pubblica. Inviandoli all’endpoint /sitecore/blocked.aspx, ingannano il server, inducendolo a deserializzare ed eseguire codice arbitrario.
La catena di attacco è ben strutturata:
- Esecuzione Iniziale: Tramite la falla CVE-2025-53690, ottengono il controllo come utente
NETWORK SERVICE. - Ricognizione: Installano la backdoor WeepSteel, un malware progettato per raccogliere informazioni preliminari sul sistema, eseguendo comandi come
whoami,ipconfig /allenetstat -ano. - Movimento Laterale: Utilizzano strumenti come Earthworm (per creare tunnel di rete) e Dwagent (per l’accesso remoto) per espandere il loro controllo e preparare l’esfiltrazione dei dati, compressi con 7-Zip.
- Persistenza: Creano nuovi account amministratore (
asp$,sawadmin) e disabilitano la scadenza delle password per garantirsi un accesso duraturo e indisturbato alla macchina compromessa.
Versioni a rischio e come mettere in sicurezza i sistemi
La vulnerabilità riguarda una vasta gamma di prodotti, ma solo se è stata commessa la leggerezza di usare la chiave di esempio. È fondamentale verificare immediatamente la propria configurazione.
Prodotti interessati:
- Sitecore Experience Manager (XM)
- Sitecore Experience Platform (XP)
- Sitecore Experience Commerce (XC)
- Versioni fino alla 9.0 (incluse)
La buona notizia è che le soluzioni più recenti e cloud-native come XM Cloud, Content Hub e OrderCloud non sono affette da questo problema.
Sitecore ha rilasciato un bollettino di sicurezza ufficiale in cui raccomanda azioni immediate per mitigare il rischio. Gli amministratori devono:
- Sostituire immediatamente ogni valore statico
<machineKey>nel fileweb.configcon chiavi nuove e univoche. - Crittografare l’elemento
<machineKey>all’interno del fileweb.configper proteggerlo da accessi non autorizzati. - Adottare una politica di rotazione periodica delle chiavi come buona pratica di sicurezza.
Questo incidente è un potente promemoria di come configurazioni predefinite o di esempio possano trasformarsi in gravi minacce per la sicurezza se utilizzate in ambienti di produzione. La vigilanza e la corretta implementazione sono la prima linea di difesa.
Per un’analisi tecnica dettagliata e per consultare le linee guida ufficiali, ecco alcune risorse indispensabili:
- Il report ufficiale di Mandiant sull’attacco
- Il bollettino di sicurezza di Sitecore
- Guida Microsoft sulla sicurezza delle MachineKey ASP.NET
Appassionato e sempre entusiasta della tecnologia e di poterla usare. Amo scrivere per raccontare le ultime novità tecnologiche.
