O vulnerabilitate critică de tip zero-day, care permite atacatorilor să execute cod de la distanță, a fost descoperită recent în mai multe produse Sitecore, inclusiv Experience Manager (XM), Experience Platform (XP) și Experience Commerce (XC). Vulnerabilitatea (CVE-2025-53690), provine dintr-o eroare de deserializare a ViewState și este exploatată activ de atacatori. Deși produse precum XM Cloud, Content Hub și OrderCloud nu sunt afectate, riscul este deosebit de ridicat pentru instanțele care folosesc versiuni mai vechi sau configurații implicite.
Investigațiile efectuate de experții în securitate au arătat că atacatorii folosesc chei ASP.NET expuse, care au fost incluse în ghidurile de implementare Sitecore din 2017. Aceste chei le permit să ocolească mecanismele de validare și să trimită serverelor comenzi periculoase (payload-uri), declanșând execuția de cod de la distanță. Odată ce au acces, atacatorii folosesc malware personalizat, numit WEEPSTEEL, pentru a scana sistemul și a fura informații de pe server.
După compromiterea inițială, atacatorii au instalat o serie de instrumente open-source precum EARTHWORM pentru a crea canale de comunicare sigure, DWAGENT pentru a menține accesul persistent și SHARPHOUND pentru a explora rețeaua. Scopul a fost de a escalada privilegiile, de a crea conturi de administrator locale și de a se deplasa lateral prin rețea. Sitecore a recunoscut vulnerabilitatea (SC2025-005) și a lansat actualizări de securitate pentru a o remedia. Este esențial ca toți clienții afectați să ia măsuri imediate.
Sfaturi de Protecție
1. Aplică imediat patch-urile de securitate
Pasul 1: Accesează portalul oficial de suport Sitecore și consultă advisory-ul (SC2025-005) pentru a identifica patch-ul corect pentru versiunea ta.
Pasul 2: Descarcă pachetul de remediere și urmează cu strictețe instrucțiunile oficiale de instalare pentru a-l aplica.
Pasul 3: După instalare, verifică istoricul și funcționalitatea sistemului pentru a te asigura că patch-ul a fost aplicat cu succes, fără erori.
2. Rotește cheile de mașină ASP.NET
Pasul 1: Accesează fișierul de configurare principal al aplicației Sitecore, web.config.
Pasul 2: Generează o nouă cheie de mașină (formată dintr-un validationKey și un decryptionKey) folosind un generator de încredere.
Pasul 3: Înlocuiește valorile vechi ale atributului machineKey cu noile chei generate, asigurându-te că acestea sunt unice.
Pasul 4: Înainte de a face modificări, fă o copie de rezervă a fișierului web.config. Această operațiune este critică și tehnică, iar orice eroare poate bloca site-ul. Este recomandat ca această acțiune să fie efectuată de un administrator de sistem sau de un specialist IT cu experiență.
3. Activează validarea ViewState MAC
Pasul 1: Deschide fișierul web.config și localizează secțiunea relevantă pentru configurarea ASP.NET.
Pasul 2: Asigură-te că atributul enableViewStateMac din tag-ul <pages> este setat la true.
Pasul 3: Verifică dacă atributul validation este setat la o valoare corespunzătoare, cum ar fi SHA1, pentru a asigura integritatea datelor ViewState.
4. Implementează securitatea datelor
Pasul 1: Identifică toate detaliile, cum ar fi cheile de conexiune la bazele de date, care ar putea fi stocate în format text simplu.
Pasul 2: Folosește un utilitar de criptare (de exemplu, un provider de configurare ASP.NET) pentru a cripta aceste informații sensibile.
Pasul 3: Verifică periodic fișierele de configurare pentru a te asigura că nu a fost adăugat conținut necriptat.
5. Configurează firewall-ul corect
Pasul 1: Examinează setările firewall-ului de pe serverul care găzduiește Sitecore.
Pasul 2: Creează reguli specifice pentru a permite doar traficul necesar (porturi, protocoale).
Pasul 3: Blochează orice conexiune de intrare și de ieșire care nu este esențială pentru funcționarea aplicației.
6. Actualizează și securizează conturile de utilizator
Pasul 1: Parcurge lista conturilor de utilizator și de administrator din sistemul Sitecore și din server.
Pasul 2: Schimbă toate parolele implicite sau simple și impune politici de parole complexe.
Pasul 3: Activează autentificarea cu doi factori (2FA) pentru toate conturile de administrator.
7. Implementează un sistem de monitorizare
Pasul 1: Instalează un agent de monitorizare sau un sistem de detecție intruziuni (IDS) pe serverul Sitecore.
Pasul 2: Configurează-l pentru a monitoriza activitatea suspectă, cum ar fi crearea de fișiere necunoscute sau încercări de execuție cod de la distanță.
Pasul 3: Stabilește alerte care să te notifice imediat în cazul unor evenimente neobișnuite.
8. Revizuiește ghidurile de implementare
Pasul 1: Consultă ghidurile oficiale de implementare Sitecore și asigură-te că instalarea ta a respectat cele mai bune practici.
Pasul 2: Identifică și corectează orice erori de configurare care ar fi putut rezulta din utilizarea unor ghiduri depășite.
Pasul 3: Verifică dacă mediul de producție a fost configurat diferit față de ghidurile oficiale și ia măsuri de remediere.
9. Creează copii de rezervă regulate
Pasul 1: Configurează un sistem automat de backup pentru bazele de date, fișierele și codul sursă ale aplicației Sitecore.
Pasul 2: Stochează copiile de rezervă într-un loc sigur, de preferință în afara rețelei principale.
Pasul 3: Testează periodic procesul de restaurare a datelor pentru a te asigura că poți recupera rapid în caz de atac.
10. Stabilește un plan de răspuns la incidente
Pasul 1: Creează o echipă responsabilă de securitate.
Pasul 2: Elaborează un plan detaliat care să specifice pașii de urmat în cazul unei breșe de securitate.
Pasul 3: Asigură-te că toți membrii echipei sunt conștienți de rolul și responsabilitățile lor în cadrul acestui plan.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro