La vulnerabilità critica identificata come CVE-2025-53690 sta colpendo numerose installazioni di Sitecore, una delle piattaforme di gestione dei contenuti più diffuse a livello enterprise. Questa falla, valutata con un punteggio CVSS di 9.0 su 10, è attivamente sfruttata da dicembre 2024, spingendo la CISA a ordinare un aggiornamento immediato di tutte le istanze Sitecore entro il 25 settembre 2025, in particolare per le agenzie federali statunitensi e per tutte le organizzazioni che utilizzano il prodotto.

Il problema nasce da una vulnerabilità di deserializzazione di dati non affidabili, legata all'utilizzo di machine key predefinite in ASP.NET nelle implementazioni Sitecore Experience Manager, Experience Platform, Experience Commerce e Managed Cloud. Gli attaccanti sfruttano chiavi ASP.NET esposte per ottenere esecuzione di codice remoto, consentendo la compromissione completa dei sistemi.

Secondo l’analisi di Mandiant, la chiave di machine key utilizzata negli attacchi era riportata nei documenti ufficiali di Sitecore fino al 2017. Questo ha permesso agli attori malevoli di sfruttare la debolezza senza dover generare nuove chiavi, semplicemente individuando installazioni non aggiornate o mal configurate.

L’exploit consente agli attaccanti di ottenere l’accesso iniziale ai server Sitecore esposti su internet, installare un payload chiamato WEEPSTEEL e avviare una serie di attività malevole: raccolta di informazioni di sistema, rete e utenti, esfiltrazione dei dati e movimenti laterali nella rete aziendale. Strumenti open-source come EarthWorm (per il tunneling SOCKS), DWAgent (per accesso remoto e ricognizione Active Directory), SharpHound e GoTokenTheft vengono impiegati per ampliare il controllo e identificare credenziali di amministratore.

Durante l’attacco, vengono creati account amministrativi temporanei (come asp$ e sawadmin) per estrarre dati sensibili dai registri di sistema e facilitare il movimento tramite RDP. Una volta ottenuto il controllo, questi account vengono rimossi per lasciare meno tracce e utilizzare metodi di accesso più discreti e persistenti.

Per ridurre il rischio, si raccomanda di ruotare immediatamente le machine key ASP.NET, bloccare i parametri di configurazione e verificare l’assenza di compromissioni nei sistemi. È importante evitare l’uso di chiavi statiche fornite nella documentazione e generare chiavi uniche e casuali per ciascuna installazione.

Sitecore ha confermato che le nuove distribuzioni generano ora le chiavi in modo automatico e che sono in corso comunicazioni con i clienti coinvolti. Tuttavia, l’impatto effettivo della vulnerabilità rimane incerto, ma il potenziale per danni diffusi è elevato.