CVE-2025-53690 (CVSS 9.0) menargetkan Sitecore (XM/XP/XC/Managed Cloud) melalui deserialisasi ViewState yang memanfaatkan machineKey ASP.NET statis dari panduan deployment lama. Eksploitasi aktif telah diamati: penyerang masuk via RCE, menaikkan hak akses, bertahan, melakukan rekonsaisans Active Directory, lalu bergerak lateral hingga pencurian data. FCEB diimbau menambal sebelum 25 September 2025. Putar ulang machineKey, perketat konfigurasi, batasi paparan ke internet publik, dan cari indikator kompromi yang dirinci di bawah.
Mengapa Kerentanan Ini Berbahaya
Masalah utamanya adalah deserialisasi data tak tepercaya pada ViewState ketika aplikasi menggunakan machineKey default/statis. Jika machineKey terekspos (misalnya dari dokumentasi lama), penyerang bisa memvalidasi dan mengeksekusi payload ViewState berbahaya, menghasilkan Remote Code Execution (RCE) di server Sitecore yang menghadap internet. Nilai CVSS 9.0 mencerminkan dampak kritis—akses awal mudah berujung kendali penuh lingkungan.
Latar & Garis Waktu Singkat
- 2017 dan sebelumnya — Panduan deployment Sitecore memuat contoh machineKey; sebagian pengguna menyalin mentah tanpa mengganti dengan nilai unik.
- Desember 2024 – Februari 2025 — Microsoft mengamati eksploitasi terbatas terhadap machineKey bocor; beberapa kasus digunakan untuk menjatuhkan kerangka pasca-eksploitasi Godzilla.
- Maret–Mei 2025 — Kasus serupa muncul:
- CVE-2025-30406 (CentreStack/Gladinet): machineKey tidak terlindungi → RCE.
- CVE-2025-3935 (ConnectWise ScreenConnect): celah autentikasi → injeksi ViewState di dunia nyata terhadap sebagian kecil pelanggan.
- Juli 2025 — Broker akses awal Gold Melody dikaitkan kampanye yang mengeksploitasi machineKey ASP.NET bocor untuk menjual akses tidak sah.
- September 2025 — CISA mengimbau lembaga FCEB melakukan pembaruan Sitecore sebelum 25 September 2025.
Konteks ini menunjukkan satu pola: konfigurasi tidak aman + machineKey publik = jalur cepat ke RCE
Detail Teknis Serangan
- Vektor awal: ViewState deserialization menggunakan sampel machineKey yang beredar di panduan deployment lama untuk menandatangani payload.
- Payload: .NET assembly bernama WEEPSTEEL yang:
- Mengumpulkan informasi sistem, jaringan, dan pengguna.
- Mengekfiltrasi data ke penyerang.
- Meminjam sebagian fungsi dari alat Python ExchangeCmdPy.py.
- Alat bantu & tahap lanjutan:
- EarthWorm — tunneling SOCKS untuk pivoting jaringan.
- DWAgent — akses jarak jauh persisten + rekonsaisans AD (identifikasi Domain Controller).
- SharpHound — enumerasi Active Directory.
- GoTokenTheft — inventarisasi token pengguna unik, eksekusi perintah via token, dan daftar proses + token terkait.
- RDP — pergerakan lateral.
Penyerang pernah membuat
asp$ dan sawadmin untuk dump hives SAM/SYSTEM demi kredensial admin, lalu menghapus akun sementara itu setelah memperoleh akses admin yang lebih "normal"Siapa yang Berisiko?
- Seluruh flavor Sitecore: XM, XP, XC, Managed Cloud—terutama instans yang terekspos ke internet.
- Lingkungan yang menyalin contoh machineKey dari dokumentasi resmi lama alih-alih membuat kunci unik dan acak.
- Lembaga FCEB secara khusus diimbau menambal sebelum 25 September 2025, tapi praktik ini relevan untuk organisasi mana pun.
Insiden ini juga memberi pelajaran tentang tata kelola dokumentasi dan praktik deployment. Contoh konfigurasi dalam panduan resmi harus diperlakukan sebagai placeholder semata, bukan templat final. Alur pipeline modern sebaiknya memaksa pembuatan machineKey unik pada setiap environment melalui secrets manager yang terintegrasi, sekaligus melarang penggunaan kunci yang sama di antara lingkungan pengembangan, uji, dan produksi. Organisasi yang mengandalkan golden image atau AMI lama perlu memastikan tidak ada kunci kriptografi tertanam yang terbawa ke rilis baru.