安全研究人员发现，攻击者近期正利用 Sitecore 遗留中的一个零日漏洞，部署名为 WeepSteel 的侦察恶意软件。 

该漏洞编号为 CVE-2025-53690，是一种 ViewState 反序列化漏洞，其成因是 2017 年前的 Sitecore 官方指南中包含了一个 ASP.NET 机器密钥示例。部分客户在生产环境中复用了该密钥，这使得掌握该密钥的攻击者能够构造有效的恶意 "_VIEWSTATE" 有效载荷，对这些载荷进行反序列化并执行，最终导致远程代码执行（RCE）。

需要明确的是，该漏洞并非 ASP.NET 本身的问题，而是因复用公开文档中，本不应用于生产环境的密钥所导致的配置错误漏洞。

漏洞利用活动详情

Mandiant 研究人员在野外发现了相关恶意活动，他们报告称，攻击者正利用该漏洞实施多阶段攻击。具体流程如下：

1.   初始入侵：攻击者瞄准 "/sitecore/blocked.aspx" 端点（该端点包含无需身份验证的 ViewState 字段），借助 CVE-2025-53690 漏洞，以 IIS 网络服务（NETWORK SERVICE）账户权限实现远程代码执行。

2.   植入侦察工具：攻击者投放的恶意有效载荷为 WeepSteel ——这是一款侦察型后门程序，可收集系统、进程、磁盘及网络信息，并将数据窃取行为伪装成标准的 ViewState 响应。

WeepSteel 的信息收集

Mandiant 观察到，攻击者在被攻陷环境中执行了多项侦察命令，包括 whoami（查看当前用户）、hostname（查看主机名）、tasklist（查看进程列表）、ipconfig /all（查看网络配置）以及 netstat -ano（查看网络连接）。

3.   部署后续工具：在攻击的下一阶段，黑客部署了 Earthworm（网络隧道与反向 SOCKS 代理工具）、Dwagent（远程访问工具）以及 7-Zip（用于将窃取的数据压缩归档）。

4.   权限提升与持久化：随后，攻击者通过创建本地管理员账户（如 "asp$""sawadmin"）、转储缓存凭证（SAM 与 SYSTEM 注册表 hive）、借助 GoTokenTheft 工具尝试令牌伪造等方式提升权限；并通过禁用这些账户的密码过期功能、授予远程桌面（RDP）访问权限、将 Dwagent 注册为系统（SYSTEM）服务等手段，实现持久化控制。

攻击生命周期

针对 CVE-2025-53690 漏洞建议

CVE-2025-53690 漏洞影响 Sitecore Experience Manager（XM）、Experience Platform（XP）、Experience Commerce（XC）及 Managed Cloud 产品，且仅当这些产品（最高版本 9.0）使用 2017 年前文档中包含的 ASP.NET 机器密钥示例进行部署时才会受影响。

XM Cloud、Content Hub、CDP、Personalize、OrderCloud、Storefront、Send、Discover、Search 及 Commerce Server 等产品不受此漏洞影响。

Sitecore 已协同 Mandiant 的报告发布安全公告，警示使用静态机器密钥的多实例部署同样面临风险。针对可能受影响的管理员，建议采取以下措施：

1.   立即将 web.config 中所有静态值替换为新的唯一密钥；

2.   确保 web.config 中的元素已加密；

3.   作为常规安全措施，建议定期轮换静态机器密钥。