آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) به نهادهای دولتی فدرال (FCEB) و سایر سازمانها دستور داده است که تا ۲۵ سپتامبر ۲۰۲۵ تمامی نسخههای Sitecore خود را بهروزرسانی کنند. دلیل این هشدار، کشف یک آسیبپذیری حیاتی با شناسه CVE-2025-53690 است که هماکنون بهطور فعال در حملات سایبری مورد سوءاستفاده قرار میگیرد.
این نقص امنیتی با امتیاز CVSS: 9.0/10، از نوع deserialization دادههای غیرقابل اعتماد بوده و به مهاجمان اجازه میدهد با سوءاستفاده از ASP.NET machine keys، به اجرای کد از راه دور (RCE) دست پیدا کنند.
🔹 Sitecore یک پلتفرم پیشرفته مدیریت محتوا (CMS) و بازاریابی دیجیتال هست.
علاوه بر مدیریت محتوا مثل یک CMS معمولی، امکاناتی مثل شخصیسازی محتوا، اتوماسیون بازاریابی، تحلیل رفتار کاربر و فروش آنلاین رو هم داره.
به همین خاطر بهش DXP هم میگن، چون تمرکزش روی ایجاد تجربه یکپارچه و شخصی برای کاربر تو کانالهای مختلفه (وب، موبایل، اپلیکیشن و…).
پس به جای «مدیریت تجربه دیجیتال»، میتونیم سادهتر بگیم:
✅ Sitecore یک پلتفرم مدیریت محتوا و بازاریابی دیجیتال هست که به سازمانها کمک میکنه وبسایتها و کمپینهای آنلاینشون رو هوشمند و شخصیسازیشده مدیریت کنن.
جزئیات آسیبپذیری در Sitecore
نرمافزارهای آسیبپذیر:
Sitecore Experience Manager (XM)
Sitecore Experience Platform (XP)
Sitecore Experience Commerce (XC)
Sitecore Managed Cloud
نحوه سوءاستفاده:
مهاجمان با استفاده از کلیدهای پیشفرض (machine keys) که در مستندات Sitecore تا سال ۲۰۱۷ منتشر شده بود، قادر به اجرای حملات ViewState deserialization میشوند.کشف آسیبپذیری:
شرکت Mandiant (زیرمجموعه Google) این حمله را شناسایی کرده و اعلام کرده است که هنوز به گروه یا بازیگر تهدید خاصی نسبت داده نشده است.
تاکتیکها و ابزارهای مورد استفاده مهاجمان
مهاجمان پس از نفوذ موفق به سرورهای Sitecore، از ترکیب ابزارهای متنباز و سفارشی برای شناسایی شبکه، دسترسی از راه دور و حرکت جانبی استفاده کردهاند.
ابزارهای کلیدی مورد استفاده شامل:
EarthWorm → تونلسازی شبکه با SOCKS
DWAgent → دسترسی پایدار و شناسایی Active Directory
SharpHound → شناسایی ساختار AD
GoTokenTheft → سرقت و سوءاستفاده از توکنهای کاربران
RDP → حرکت جانبی و دسترسی به سیستمهای دیگر
همچنین مهاجمان حسابهای ادمین محلی (asp$ و sawadmin) ایجاد کرده و با استخراج فایلهای SAM/SYSTEM hives به دنبال دسترسی به رمزهای عبور مدیر سیستم بودهاند.
توصیههای امنیتی
برای کاهش ریسک این حملات، سازمانها باید:
کلیدهای ASP.NET machine key را تغییر (rotate) دهند.
پیکربندیهای Sitecore را قفل کنند و دسترسی غیرضروری به اینترنت را ببندند.
محیط خود را برای شواهد نفوذ و بدافزار WEEPSTEEL اسکن کنند.
مطمئن شوند که در استقرارهای جدید، کلیدها بهصورت تصادفی و ایمن تولید میشوند.
تحلیل کارشناسان امنیتی
VulnCheck:
«این آسیبپذیری ناشی از استفاده از کلیدهای ایستا در مستندات عمومی است و نشان میدهد که مهاجمان همواره مستندات را مطالعه کرده و از آنها بهرهبرداری میکنند. هر سازمانی که مشکوک به آسیبپذیری است باید فوراً کلیدها را تغییر دهد.»watchTowr:
«مشکل اصلی اینجاست که برخی مشتریان Sitecore بهجای تولید کلیدهای منحصربهفرد، کلیدهای نمونه ارائهشده در مستندات را کپی کردهاند. این موضوع راه را برای حملات ViewState و اجرای کد از راه دور باز کرده است.»
جمعبندی
این نقص امنیتی با شناسه CVE-2025-53690 یکی از جدیترین تهدیدات علیه سازمانهایی است که از Sitecore استفاده میکنند. با توجه به سوءاستفاده فعال و گسترده از این آسیبپذیری، پچ فوری و تغییر کلیدهای امنیتی حیاتیترین اقدام پیشگیرانه برای جلوگیری از نفوذ و سرقت دادههاست.
