黑客利用Sitecore零日漏洞(CVE-2025-53690)通过ViewState攻击部署WEEPSTEEL恶意软件，从而实现远程代码执行(RCE)。

Sitecore中存在一个高危零日漏洞(CVE-2025-53690)，目前正被积极利用。该漏洞源自不安全的旧密钥，允许黑客通过ViewState反序列化攻击实现远程代码执行(RCE)。

需要说明的是，此漏洞利用了ASP.NET中名为ViewState的功能，该功能可帮助网站记住用户的操作。攻击者正在利用该功能中的一个严重漏洞，即所谓的ViewState反序列化攻击。通常情况下，服务器信任ViewState消息，但由于保护该消息的安全密钥已被公众知晓，服务器被诱骗接受恶意代码，从而引发此类攻击。

据报道，黑客一直在利用Sitecore自己的部署指南中的密钥，该指南早在2017年就已发布。通过使用这个公开的密钥，攻击者可以诱骗系统接受恶意命令，最终允许他们在服务器上运行自己的代码，这种方法称为远程代码执行(RCE)。

Mandiant观察到，此次攻击遵循一个复杂的多步骤流程。首先，黑客会探测Web服务器，然后锁定使用隐藏ViewState表单的特定Sitecore页面。一旦站稳脚跟，他们就会迅速部署侦察工具WEEPSTEEL恶意软件，以收集有关系统的关键信息。

在获得初始访问权限后，攻击者开始窃取敏感配置文件，并部署了一系列开源工具来扩大控制范围。这些工具包括用于创建秘密隧道的EARTHWORM、用于远程访问的DWAGENT以及用于绘制网络地图的SHARPHOUND。之后，他们创建并使用新的本地管理员帐户来窃取用户凭据，从而进一步深入网络。这凸显了攻击者的复杂且有条不紊的攻击方式。

watchTowr主动威胁情报主管Ryan Dewhurst在针对这一发现的紧急评论中指出，该漏洞的根源在于Sitecore用户的一个简单错误。他指出：“问题源于Sitecore用户从官方文档中复制粘贴示例密钥，而不是生成唯一的随机密钥。”

值得注意的是，Sitecore（一家数字体验和内容管理平台）已确认，新部署将自动生成唯一密钥，并已联系所有受影响的客户。Mandiant和Google成功阻止了攻击的全面爆发。然而，Dewhurst警告称，“更广泛的影响尚未显现，但终将显现”，并强调在不久的将来可能造成更广泛的破坏。