Sitecore под атакой: хакеры нашли дыру
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Sitecore, одна из самых популярных платформ для управления контентом (CMS), срочно выпустила патч для устранения критической уязвимости нулевого дня (zero-day), которую уже атаковали хакеры. Исследователи безопасности из компании Mandiant зафиксировали активную эксплуатацию этой уязвимости. Злоумышленники не только устанавливали вредоносное ПО, но и интегрировали легитимные программы.
Корень проблемы кроется в использовании тестовых ключей ASP.NET, которые публиковались в официальных инструкциях Sitecore до 2017 года. Сейчас уязвимости присвоен идентификатор CVE-2025-53690 и критический балл 9.0 из 10. Данная уязвимость затрагивает продукты Sitecore Experience Manager (XM), Sitecore Experience Platform (XP), Experience Commerce (XC), а также версию Managed Cloud до 9.0, если при установке использовались эти ключи из устаревшей документации.
Хорошая новость: современные облачные продукты Sitecore – XM Cloud, Content Hub, CDP, Personalize, OrderCloud, Storefront, Send, Discover, Search и Commerce Server – под удар не попали.
Исследователи из Mandiant сумели прервать атаку на середине, что не позволило им увидеть конечную цель злоумышленников. Тем не менее им удалось обнаружить вредоносную программу WeepSteel, предназначенную для сбора информации о системе, запущенных процессах, устройствах хранения данных и сетевых соединениях. Все эти данные злоумышленники маскировали под стандартные ответы ViewState и отсылали злоумышленникам.
Помимо этого, хакеры использовали инструменты Earthworm (туннелирование и прокси), Dwagent (удалённый доступ) и даже всем знакомую утилиту 7-Zip для архивирования данных.
Атрибуция — то есть явное указание на причастность к атаке какой-либо страны или киберпреступной группы — не проводилась, но эксперты отмечают высокий профессионализм и ресурсы у нападающих. Видимо, у них солидный опыт взлома проектов, связанных с ASP.NET.
Sitecore — это цифровая платформа для крупных клиентов, которая позволяет адаптировать контент под каждого пользователя. В числе клиентов — такие гиганты как Nestlé, Subway, Suzuki и Procter & Gamble.
PEREC.RU
Sitecore снова на первых полосах — как и любые большие цифровые платформы, которые уверяют, что всё под контролем. Прямо по книге: уязвимость обнаружена не сотрудниками самой компании, а сторонними исследователями. Да хоть один разработчик читает свои старые мануалы? Проблема, естественно, в том самом «образцовом» коде, который добрые люди из Sitecore не удосужились убрать из публичного доступа на протяжении долгих лет. Кому и зачем были нужны эти старые ключи, уже не так важно: хакеры их нашли и пошли на дело как по инструкции.
В результате — у Nestlé и Subway явно добавилось седых волос, а число ночных звонков в междунарожные саппорты резко возросло. Mandiant показала, что если вовремя заметить атаку, можно хоть как-то снизить ущерб. Правоохранительным органам при этом опять нечем похвастаться: даже намёков на виновников не осталось, атрибуция осталась где-то в подвешенном состоянии — по традиции.
Главный вывод: нет такого гиганта ИТ, который не попадал бы в нелепую ситуацию из-за человеческой лени и корпоративной бюрократии. Следим за развитием, сгрызаем ногти, обновляем ключи. Ну а кто не успел — пусть пишет письма поддержки и читает свои собственные руководства пару раз в десятилетие.
