أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) توجيهات عاجلة للوكالات الفيدرالية بضرورة تحديث أنظمة Sitecore قبل 25 سبتمبر 2025، بعد اكتشاف ثغرة أمنية خطيرة يجري استغلالها بنشاط.
تحمل الثغرة الرقم CVE-2025-53690 بمعدل خطورة 9.0/10 وفق مقياس CVSS، وتؤثر على إصدارات Sitecore Experience Manager (XM) و Experience Platform (XP) و Experience Commerce (XC) و Managed Cloud.
استغلال لمفاتيح ASP.NET يؤدي إلى تنفيذ أوامر عن بُعد
أوضحت CISA أن الثغرة ناتجة عن ضعف في التعامل مع بيانات غير موثوقة (deserialization) بسبب استخدام مفاتيح Machine Keys افتراضية في إعدادات Sitecore، ما يتيح للمهاجمين استغلالها لتنفيذ أوامر عن بُعد (RCE).
وقد كشفت Mandiant، التابعة لـ Google، أن الهجمات استغلت مفاتيح مكشوفة منذ أدلة نشر Sitecore في عام 2017، وأنها نجحت في تحويل الثغرة إلى مدخل أولي لاختراق الخوادم، يليها التصعيد إلى صلاحيات أعلى والانتقال الجانبي داخل الشبكات.
أدوات الهجوم والأنشطة الخبيثة
خلال الهجمات الموثقة، استُخدمت برمجيات وأدوات مفتوحة المصدر وأخرى مخصصة، أبرزها:
-
WEEPSTEEL: برمجية ضارة تجمع معلومات النظام والشبكة والمستخدمين وترسلها إلى المهاجم.
-
EarthWorm: لإنشاء أنفاق شبكة عبر SOCKS.
-
DWAgent: للوصول عن بُعد واستطلاع Active Directory.
-
SharpHound: لأغراض استخبارات Active Directory.
-
GoTokenTheft: لاستخراج الرموز المميزة للمستخدمين وتنفيذ الأوامر بها.
-
RDP: للتحرك الجانبي بين الأنظمة.
كما أن المهاجمين أنشأوا حسابات مشرفين محليين مثل (asp$ و sawadmin) لجمع بيانات SAM/SYSTEM قبل حذفها لاحقًا للتحول إلى وسائل وصول أكثر سرية وثباتًا.
توصيات الحماية العاجلة
تحذر CISA وMandiant من أن الخطر لا يزال قائمًا، مشددتين على المؤسسات المتأثرة بضرورة:
-
تدوير مفاتيح ASP.NET وعدم استخدام المفاتيح المنشورة في الوثائق.
-
قفل الإعدادات الأمنية وتقليل المسارات المكشوفة للإنترنت.
-
إجراء عمليات فحص شاملة للبيئة لاكتشاف أي مؤشرات اختراق.
-
التأكد من النسخ الاحتياطية وعزل الأنظمة المتأثرة فورًا.
ويحذر باحثو الأمن من أن الخطأ جاء أساسًا نتيجة اعتماد بعض العملاء على نسخ ولصق مفاتيح افتراضية من وثائق Sitecore، بدلًا من إنشاء مفاتيح عشوائية فريدة، مما ترك العديد من الأنظمة مكشوفة لهجمات تنفيذ التعليمات البرمجية عن بُعد.
