WeepSteel và lỗ hổng Sitecore: Khi “khóa mặc định” biến thành cửa ngỏ cho tin tặc

[WhiteHat Team]

Một chiến dịch tấn công mới vừa được Mandiant phát hiện đang nhắm vào các hệ thống Sitecore cũ (trước năm 2017). Tin tặc đã khai thác một lỗ hổng có tên CVE-2025-53690 để cài đặt phần mềm gián điệp WeepSteel, mở đường cho việc thu thập thông tin, leo thang đặc quyền và kiểm soát máy chủ.

​

Đây không phải là một lỗi lập trình trong ASP.NET, mà xuất phát từ sai sót cấu hình bảo mật của nhiều doanh nghiệp, dùng lại “khóa mặc định” được ghi trong tài liệu hướng dẫn của Sitecore nhiều năm trước.

Lỗ hổng CVE-2025-53690 nằm ở ViewState deserialization - một cơ chế ASP.NET dùng để lưu trạng thái trang web. Trong tài liệu cũ, Sitecore từng cung cấp một ASP.NET machine key mẫu để minh họa. Một số tổ chức vì tiện đã mang luôn khóa này vào môi trường thật. Kết quả là kẻ tấn công biết trước khóa này, có thể tạo payload ViewState giả mạo, đánh lừa máy chủ IIS và thực thi mã độc từ xa (RCE).

Điểm yếu này ảnh hưởng đến nhiều sản phẩm Sitecore đời cũ như Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), và cả các bản Managed Cloud nếu vẫn dùng khóa mẫu. Các dịch vụ Sitecore mới hơn (XM Cloud, Content Hub, OrderCloud…) không bị ảnh hưởng.

Mandiant ghi nhận tin tặc nhắm vào endpoint /sitecore/blocked.aspx, nơi có trường ViewState chưa được bảo vệ đúng cách. Sau khi khai thác thành công, chúng cài đặt WeepSteel, một backdoor trinh sát, chuyên thu thập:

• Thông tin hệ thống, tài khoản, tiến trình, mạng, ổ đĩa
• Dữ liệu được gửi ra ngoài nhưng ngụy trang thành phản hồi ViewState hợp lệ để tránh bị phát hiện

(Nguồn thu thập thông tin của WeepSteel)​

Sau giai đoạn trinh sát, tin tặc triển khai thêm công cụ:

• Earthworm (tạo đường hầm mạng, proxy ngược SOCKS)
• Dwagent (công cụ điều khiển từ xa)
• 7-Zip (đóng gói dữ liệu bị đánh cắp)

Để củng cố quyền kiểm soát, chúng:

• Tạo tài khoản quản trị viên ẩn (asp$, sawadmin)
• Dump credential từ SAM & SYSTEM hives
• Thử chiếm quyền token bằng GoTokenTheft
• Bật RDP, vô hiệu hóa hạn dùng mật khẩu, và cài Dwagent làm dịch vụ hệ thống

(Vòng lặp tấn công)​

Nói cách khác, từ một “cửa ngỏ nhỏ” là machine key mặc định, tin tặc đã có thể biến server thành trạm trung chuyển, công cụ đánh cắp dữ liệu và điểm bám lâu dài.

Điểm nguy hiểm của lỗ hổng này là:

• Không cần mật khẩu hay tài khoản: chỉ cần biết khóa mẫu vốn đã công khai từ lâu.
• Ảnh hưởng tới nhiều ngành: Sitecore thường dùng trong giáo dục, y tế, bán lẻ, công nghệ – những lĩnh vực chứa lượng dữ liệu người dùng khổng lồ.
• Bất kỳ hệ thống nào chưa vá hoặc vẫn dùng machine key cũ đều có nguy cơ bị chiếm quyền.

Điều này không chỉ gây mất dữ liệu, mà còn biến hệ thống thành bàn đạp cho tấn công sâu hơn, ảnh hưởng uy tín và an toàn của cả doanh nghiệp lẫn khách hàng.

Sitecore đã phát hành cảnh báo chính thức và hướng dẫn xử lý:

• Thay toàn bộ machine key trong web.config bằng khóa mới, ngẫu nhiên và duy nhất.
• Mã hóa phần tử <machineKey> trong web.config để tránh rò rỉ.
• Xoay vòng (rotate) machine key định kỳ, tránh để lâu dài.
• Rà soát các máy chủ IIS chạy Sitecore đời cũ, giám sát hành vi bất thường (tài khoản lạ, dịch vụ mới, tiến trình ngầm).
• Luôn cập nhật bản vá và tuân thủ khuyến nghị bảo mật từ nhà phát triển.

Câu chuyện CVE-2025-53690 là lời nhắc mạnh mẽ rằng “tiện tay copy-paste” trong cấu hình bảo mật có thể trả giá rất đắt. Một machine key mẫu tưởng như vô hại lại trở thành chìa khóa vàng trong tay tin tặc. Với những hệ thống cũ như Sitecore, nếu không rà soát và vá kịp thời, nguy cơ bị biến thành “máy chủ gián điệp” chỉ còn là vấn đề thời gian.

Theo Bleeping Computer​