La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió una directiva urgente para que todas las agencias del Federal Civilian Executive Branch (FCEB) actualicen sus instancias de Sitecore a más tardar el 25 de septiembre de 2025, tras confirmar que una vulnerabilidad crítica está siendo explotada activamente.

El fallo, identificado como CVE-2025-53690 y con una puntuación CVSS de 9.0/10, afecta a Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) y Managed Cloud. El origen del problema está en la deserialización de datos no confiables debido al uso de claves ASP.NET predeterminadas, lo que permite a los atacantes ejecutar código remoto (RCE) en sistemas vulnerables.

Explotación activa confirmada

La firma de ciberseguridad Mandiant (propiedad de Google) detectó la explotación en curso a través de un ataque de deserialización de ViewState, en el cual los atacantes aprovecharon una clave de máquina publicada en antiguas guías de implementación de Sitecore (anteriores a 2017).

El ataque mostró un alto nivel de sofisticación: tras comprometer el servidor, los atacantes escalaron privilegios, establecieron persistencia y desplegaron un payload denominado WEEPSTEEL, un ensamblado .NET diseñado para recolectar información de sistemas, usuarios y redes, y luego exfiltrarla.

Durante la intrusión se identificó el uso de múltiples herramientas, entre ellas:

• EarthWorm para túneles de red mediante SOCKS
• DWAgent para acceso remoto y reconocimiento de Active Directory
• SharpHound para mapear entornos de Active Directory
• GoTokenTheft para manipulación de tokens y enumeración de procesos
• RDP (Remote Desktop Protocol) para movimiento lateral

Además, los atacantes crearon cuentas de administrador local (asp$ y sawadmin) para volcar credenciales y, posteriormente, las eliminaron para usar métodos de persistencia más sigilosos.

Una tendencia en aumento

El abuso de claves ASP.NET filtradas no es nuevo. Microsoft ya había reportado en diciembre de 2024 intentos de explotación relacionados con el framework Godzilla. En mayo de 2025, ConnectWise reveló otra vulnerabilidad (CVE-2025-3935) usada por actores estatales para inyecciones ViewState.

Más recientemente, el Initial Access Broker (IAB) conocido como Gold Melody fue vinculado a campañas que aprovechan estas claves para obtener accesos ilegítimos y revenderlos a otros grupos criminales.

Recomendaciones para las organizaciones

Los expertos insisten en la urgencia de actuar:

• Rotar inmediatamente las claves ASP.NET.
• Auditar y reforzar configuraciones de Sitecore.
• Evitar la exposición pública de las instancias de Sitecore.
• Escanear entornos en busca de señales de compromiso y persistencia.

“Cualquier despliegue que use claves predeterminadas está gravemente expuesto”, advirtió Ryan Dewhurst, jefe de inteligencia proactiva en watchTowr. “No es solo una mala práctica de configuración; es una puerta abierta hacia la ejecución remota de código.”

Por su parte, Caitlin Condon, vicepresidenta de investigación en VulnCheck, señaló:

“Los atacantes leen la documentación. Si las organizaciones reutilizan claves de ejemplo, se les está dando acceso directo a sus sistemas. Rotar claves y cerrar exposición pública debe ser una prioridad inmediata.”

El panorama general

Sitecore confirmó que en las nuevas implementaciones las claves ya se generan automáticamente, y que los clientes afectados han sido notificados. Sin embargo, el alcance real de la explotación aún no está del todo claro.

El caso de CVE-2025-53690 refleja la importancia de evitar configuraciones por defecto, reforzar procesos de despliegue seguro y mantener la vigilancia continua frente a ataques que explotan documentación pública y malas prácticas heredadas.

Fuente: https://thehackernews.com/2025/09/cisa-orders-immediate-patch-of-critical.html