Zero-Day en Sitecore explotado para implementar el malware WEEPSTEEL

Una vulnerabilidad crítica de día cero ( CVE-2025-53690 ) se está explotando activamente en Sitecore. Esta falla, originada por claves antiguas e inseguras, permite a los hackers ejecutar código remoto (RCE) mediante ataques de deserialización de ViewState.

Para su información, este exploit se basa en una función llamada ViewState, que forma parte de ASP.NET y ayuda a un sitio web a recordar las acciones del usuario. Los atacantes están explotando una vulnerabilidad grave en esta función, conocida como ataque de deserialización de ViewState. Esto ocurre cuando el servidor, que normalmente confía en los mensajes de ViewState, es engañado para que acepte código malicioso porque las claves de seguridad que lo protegen son de dominio público.

Según se informa, los piratas informáticos han estado aprovechando una clave de las propias guías de implementación de Sitecore, que se publicaron en 2017. Al usar esta clave conocida públicamente, los atacantes pueden engañar al sistema para que acepte comandos maliciosos, lo que en última instancia les permite ejecutar su propio código en el servidor, un método conocido como ejecución remota de código (RCE).

El ataque, según Mandiant , sigue un proceso detallado de varios pasos. Comienza con los hackers sondeando servidores web antes de centrarse en una página específica de Sitecore que utiliza un formulario ViewState oculto. Una vez que se afianzan, implementan rápidamente una herramienta de reconocimiento, el malware WEEPSTEEL, para recopilar información crítica sobre el sistema.

Tras asegurar el acceso inicial, los atacantes procedieron a robar archivos de configuración confidenciales y luego implementaron un conjunto de herramientas de código abierto para ampliar su control. Estas incluían EARTHWORM para crear túneles secretos, DWAGENT para el acceso remoto y SHARPHOUND para mapear la red. Posteriormente, crearon y utilizaron nuevas cuentas de administrador local para robar las credenciales de los usuarios, lo que les permitió penetrar más profundamente en la red. Esto pone de manifiesto el enfoque sofisticado y metódico de los atacantes.

En un comentario urgente sobre el descubrimiento, Ryan Dewhurst , jefe de inteligencia proactiva de amenazas en watchTowr, señaló que la causa de la vulnerabilidad es un error directo de los usuarios de Sitecore. "El problema se debe a que los usuarios de Sitecore copian y pegan claves de ejemplo de la documentación oficial, en lugar de generar claves únicas y aleatorias", señaló.

Cabe destacar que Sitecore, una plataforma de gestión de contenido y experiencia digital, ha confirmado que las nuevas implementaciones generarán automáticamente claves únicas y que se ha contactado a todos los clientes afectados. Mandiant y Google lograron interrumpir los ataques antes de que se propagaran por completo. Sin embargo, Dewhurst advirtió que "el impacto general aún no se ha manifestado, pero se manifestará", enfatizando la posibilidad de daños más generalizados en el futuro cercano.