Хакеры взломали тысячи сайтов через пароль из школьного учебника 2017 года

Специалисты Mandiant обнаружили атаку на старые установки платформы Sitecore. Хакеры использовали демонстрационный ASP.NET-ключ, который публиковался в официальной документации до 2017 года. Проблема получила идентификатор CVE-2025-53690 и позволяет выполнять вредоносный код через механизм десериализации ViewState.

Атака начиналась с простого запроса к странице /sitecore/blocked.aspx, которая есть во всех установках Sitecore. Эта страница не требует авторизации и содержит скрытое поле ViewState — идеальную цель для внедрения вредоносного кода. Злоумышленники отправляли POST-запросы со специально подготовленным ViewState, подписанным старым machineKey из документации. Хотя Sitecore давно не использует такие ключи в новых версиях, многие старые установки до сих пор уязвимы.

После успешного взлома хакеры загружали на сервер .NET-библиотеку Information.dll (известную как WEEPSTEEL). Этот инструмент собирал информацию о системе: версию операционной системы, сетевые настройки, список запущенных процессов и структуру веб-приложения. Все собранные данные передавались обратно через то же поле ViewState, маскируясь под обычный ответ сервера.

Затем злоумышленники архивировали весь корневой каталог сайта, включая критически важный файл web.config с настройками сервера. Для разведки они выполняли системные команды: получали списки пользователей и процессов, анализировали сетевые соединения и структуру домена. Для постоянного доступа использовались три инструмента с открытым исходным кодом: EARTHWORM (туннельный сервер с SOCKS-прокси), DWAGENT (удаленное управление с правами SYSTEM) и SHARPHOUND (сбор данных об Active Directory).

На следующем этапе хакеры создали двух поддельных администраторов — asp$ и sawadmin, замаскировав их под обычные системные аккаунты. Используя административные права, они скопировали реестры SAM и SYSTEM для извлечения паролей. Также применялся инструмент GoToken.exe для перехвата и использования токенов других пользователей.

Для удаленного управления злоумышленники использовали RDP, направляя трафик через SOCKS-прокси EARTHWORM. Через эти подключения загружались дополнительные программы: скрипты и клиенты удаленного управления. Параллельно проводилась разведка домена с поиском слабых паролей в XML-файлах групповых политик.

В финале атаки временные аккаунты asp$ и sawadmin были удалены, а все действия выполнялись от имени реальных администраторов домена. Для захвата других компьютеров снова использовался RDP с установкой туннеля EARTHWORM и запуском утилит системного аудита.

Хотя атака была остановлена на раннем этапе, Mandiant отмечает высокий профессионализм злоумышленников. Они демонстрировали глубокое понимание архитектуры Sitecore и механизмов ViewState. Все действия были тщательно спланированы: от первоначального проникновения до закрепления в сети и перемещения между системами.

Владельцам Sitecore XP до версии 9.0 и модуля Active Directory до версии 1.4 необходимо срочно: заменить стандартные значения <machineKey> в web.config на уникальные, включить проверку MAC для ViewState и зашифровать конфигурационные параметры. Особенно опасны установки с одинаковыми ключами на нескольких серверах. Под угрозой: Sitecore Experience Manager, Experience Platform, Experience Commerce и Managed Cloud. Безопасны: XM Cloud, Content Hub, CDP, Personalize, OrderCloud, Send, Discover, Search и Commerce Server.

Mandiant опубликовала полный список индикаторов компрометации в GTI-коллекции: IP-адреса, хеши вредоносных файлов и имена учетных записей. Администраторам рекомендуется изучить официальные рекомендации по защите и регулярному обновлению ASP.NET-ключей.