أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرًا عاجلًا للوكالات الفيدرالية بضرورة تحديث أنظمة Sitecore قبل 25 سبتمبر 2025، بعد اكتشاف ثغرة أمنية خطيرة يجري استغلالها بالفعل في هجمات نشطة.
تفاصيل الثغرة
تم تسجيل الثغرة تحت الرمز CVE-2025-53690 وحصلت على درجة خطورة 9.0 من 10 وفقًا لمقياس CVSS، ما يجعلها من الفئة الحرجة. تؤثر الثغرة على منتجات Sitecore XM وXP وXC وManaged Cloud، وتتمثل في ثغرة إلغاء تسلسل بيانات غير موثوقة مرتبطة باستخدام مفاتيح ASP.NET ثابتة (machine keys). هذه الثغرة تسمح للمهاجمين بتنفيذ أوامر عن بُعد (RCE) على الخادم المستهدف.
كيفية الاستغلال
كشفت Mandiant، التابعة لجوجل، أن الهجوم يستغل مفتاحًا ثابتًا تم نشره في أدلة تثبيت Sitecore منذ عام 2017. يبدأ المهاجمون بالوصول الأولي إلى الخادم عبر ViewState deserialization، ومن ثم ينفذون أداة خبيثة تسمى WEEPSTEEL، وهي قادرة على جمع بيانات النظام والشبكة والمستخدمين وإرسالها إلى المهاجم.
بعد تثبيت موطئ قدم داخل الشبكة، يقوم المهاجمون بـ:
-
التصعيد إلى صلاحيات المسؤول.
-
الحفاظ على وجود دائم عبر أدوات مثل DWAgent.
-
الاستطلاع الداخلي باستخدام SharpHound للتعرف على خوادم Active Directory.
-
استخدام أدوات مثل GoTokenTheft لسرقة رموز الجلسات وتنفيذ أوامر باسم المستخدمين.
-
التحرك الجانبي عبر بروتوكول RDP.
كما أنشأ المهاجمون حسابات مسؤول محلية مثل asp$ وsawadmin لاستخراج بيانات نظام Windows (SAM/SYSTEM hives) والحصول على كلمات مرور المسؤولين، قبل حذفها لاحقًا للتحول إلى طرق وصول أكثر سرية.
خطورة التهديد
أشارت CISA وفرق أبحاث أمنية إلى أن هذه الثغرة تشكل خطرًا شديدًا، نظرًا لأن بعض مسؤولي الأنظمة اعتمدوا مفاتيح ثابتة منشورة في وثائق Sitecore بدلاً من توليد مفاتيح عشوائية. هذا جعل آلاف الخوادم عرضة لهجمات RCE مباشرة.
التوصيات
-
تدوير مفاتيح ASP.NET فورًا واستبدالها بمفاتيح فريدة وعشوائية.
-
تأمين إعدادات الخوادم لمنع الوصول غير المصرح به.
-
إجراء فحص شامل للأنظمة بحثًا عن أي مؤشرات اختراق.
-
ضبط Sitecore لمنع تعرضه للإنترنت العام متى أمكن ذلك.
تصريحات الخبراء
قالت Caitlin Condon من VulnCheck: “الثغرة ناجمة عن التهيئة غير الآمنة (استخدام مفتاح ثابت) والنشر العلني لهذا المفتاح. وقد أثبت المهاجمون مرارًا أنهم يقرأون الوثائق الرسمية ويستغلونها”.
بينما أوضح Ryan Dewhurst من watchTowr أن: “أي نشر يستخدم هذه المفاتيح المعروفة أصبح عرضة لهجمات ViewState، ما يفتح الطريق مباشرة لتنفيذ أوامر عن بُعد”.
وأكدت Sitecore أنها أصلحت المشكلة في الإصدارات الجديدة، حيث يتم الآن توليد المفاتيح بشكل تلقائي، وأرسلت إشعارات لجميع العملاء المتأثرين. ومع ذلك، يبقى حجم الأثر العالمي للثغرة غير معروف حتى الآن.
