今年針對Salesforce雲端客戶關係管理平臺(CRM)攻擊行動不斷發生,但如今也有其他CRM平臺遭到鎖定,成為新一波的攻擊目標,引起資安圈的關注,而且,攻擊者找到的弱點,竟是源自廠商提供的部署指引內容。
客戶體驗管理平臺Sitecore發布資安公告,該公司旗下多項解決方案存在資安漏洞CVE-2025-53690,一旦攻擊者成功利用,就有機會遠端執行任意程式碼(RCE),或是未經授權存取特定資訊,呼籲用戶儘速依照公告的指引採取緩解措施。通報此事的資安業者Mandiant提出警告,他們之所以發現這項漏洞,是因為已經有人用於實際攻擊行動。
CVE-2025-53690是未受信任資料反序列化造成的漏洞,影響Experience Manager(XM)、Experience Platform(XP)、Experience Commerce(XC),以及Managed Cloud等產品,CVSS風險評為9.0分(滿分10分)。
Mandiant也透過部落格文章揭露發現相關攻擊行動的過程,當時他們看到積極的ViewState反序列化攻擊行動,這起活動的特別之處,在於攻擊者利用了2017年之前的Sitecore部署指引裡面的公開範例金鑰,他們向Sitecore通報此事,該漏洞被登記為CVE-2025-53690列管。Mandiant指出,多項產品由於沿用該廠商公開部署指引文件的範例金鑰,因此,都有可能受到影響,尤其是採用XP 9.0及Active Directory 1.4之前版本的用戶。
儘管Mandiant快速應變而成功中斷攻擊行動的進行,但也導致無法觀察、確認整個攻擊流程,不過,即便如此,根據他們的調查,還是掌握攻擊活動的關鍵,例如,這些駭客在網際網路上找尋存在弱點的目標,觸發漏洞而能遠端執行程式碼,然後解密ViewState有效酬載,產生惡意程式WeepSteel進行內部偵察。
接著攻擊者存取網頁應用程式的根資料夾收集敏感資料,然後運用開源工具進行後續活動,包含網路隧道工具EarthWorm、遠端存取工具Dwagent、AD偵察工具SharpHound。
這些駭客最初發出HTTP請求探測目標網頁伺服器,然後鎖定/sitecore/blocked.aspx網頁,由於此網頁使用隱藏的ViewState表單,加上無須身分驗證就能存取,而成為攻擊者下手的潛在目標。
這波活動使用的作案工具WeepSteel,與後門程式GhostContainer、ExchangeCmdPy有相似之處,主要功能是收集系統、網路、使用者資訊,並透過偽裝的ViewState進行傳輸。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-11-30
2025-12-01
2025-12-04