CISA Ordena Correção Imediata de Vulnerabilidade Crítica no Sitecore em Exploração Ativa

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências federais atualizem suas instâncias do Sitecore até 25 de setembro de 2025. A vulnerabilidade, identificada como CVE-2025-53690 com pontuação CVSS 9.0, permite execução remota de código através da desserialização de dados não confiáveis.

A falha envolve o uso de chaves de máquina padrão do ASP.NET que foram expostas em guias de implantação públicos do Sitecore desde 2017. A Mandiant, da Google, descobriu ataques ativos de desserialização ViewState que exploram essas chaves conhecidas.

Os atacantes demonstram profundo conhecimento do produto comprometido, usando ferramentas como:

• WEEPSTEEL para coleta de informações do sistema
• EarthWorm para tunelamento de rede
• DWAgent para acesso remoto persistente
• SharpHound para reconhecimento do Active Directory

O vetor de ataque inclui comprometimento inicial, escalação de privilégios, movimento lateral e exfiltração de dados. Os atacantes criam contas de administrador local e usam RDP para movimento lateral.

Especialistas recomendam:

• Rotacionar imediatamente as chaves de máquina ASP.NET
• Verificar se as instalações do Sitecore não estão expostas à internet pública
• Escanear ambientes em busca de sinais de comprometimento

A Sitecore confirmou que novas implantações agora geram chaves automaticamente e que todos os clientes afetados foram contatados. O alcance total do impacto ainda não é conhecido, mas a vulnerabilidade apresenta características de gravidade severa.