Bản chất của lỗ hổng

Điều đáng chú ý về lỗ hổng này là nó không phải do lỗi lập trình trong ASP.NET hay Sitecore, mà xuất phát từ một sai lầm cấu hình rất phổ biến. Trong các tài liệu hướng dẫn trước năm 2017, Sitecore đã cung cấp một ASP.NET machine key mẫu để minh họa cách cấu hình. Thật không may, nhiều tổ chức đã sao chép nguyên si machine key này vào môi trường production vì tiện lợi.

Kẻ tấn công đã nhanh chóng nhận ra điều này và khai thác lỗ hổng ViewState deserialization. Với machine key đã biết trước, chúng có thể tạo ra các payload ViewState giả mạo, gửi đến endpoint /sitecore/blocked.aspx và đánh lừa máy chủ IIS thực thi mã độc. Điều này cho thấy rằng đôi khi những lỗi đơn giản nhất lại gây ra hậu quả nghiêm trọng nhất.

Malware WeepSteel và chuỗi tấn công

Sau khi khai thác thành công, kẻ tấn công cài đặt một backdoor có tên WeepSteel. Đây không phải là một malware bình thường mà là một công cụ trinh sát được thiết kế rất tinh vi. WeepSteel thu thập toàn bộ thông tin hệ thống bao gồm danh sách tài khoản, tiến trình đang chạy, cấu hình mạng và thông tin ổ đĩa. Điều đặc biệt nguy hiểm là nó ngụy trang dữ liệu thu thập được thành các phản hồi ViewState hợp lệ để tránh bị phát hiện bởi các hệ thống giám sát.

Nhưng WeepSteel chỉ là bước đầu. Sau giai đoạn trinh sát, tin tặc triển khai thêm EARTHWORM để tạo đường hầm mạng và proxy ngược SOCKS, DWAgent làm công cụ điều khiển từ xa, và 7-Zip để đóng gói dữ liệu bị đánh cắp. Chúng cũng tạo ra các tài khoản backdoor như asp$ và sawadmin, bật RDP, vô hiệu hóa hạn chế mật khẩu, và sử dụng GoTokenTheft để chiếm quyền token. Từ một "cửa sổ nhỏ" là machine key mặc định, toàn bộ hệ thống đã bị biến thành trạm trung chuyển và công cụ đánh cắp dữ liệu.

​Vòng lặp tấn công:

Phạm vi ảnh hưởng

Lỗ hổng này ảnh hưởng đến tất cả các sản phẩm Sitecore đời cũ bao gồm Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), và cả các bản Managed Cloud nếu vẫn sử dụng machine key mẫu. Điều đáng lo ngại là Sitecore được sử dụng rộng rãi trong nhiều ngành quan trọng như giáo dục, y tế, bán lẻ và công nghệ - những lĩnh vực chứa đựng lượng dữ liệu người dùng khổng lồ.

May mắn là các dịch vụ mới hơn như XM Cloud, Content Hub, và OrderCloud không bị ảnh hưởng. Tuy nhiên, bất kỳ hệ thống nào chưa được vá hoặc vẫn sử dụng machine key cũ đều có nguy cơ bị chiếm quyền hoàn toàn.

Dấu hiệu cần chú ý

Các dấu hiệu cho thấy hệ thống có thể đã bị tấn công bao gồm xuất hiện các tài khoản người dùng lạ như asp$ hoặc sawadmin, hoạt động RDP bất thường, traffic mạng đáng nghi tạo đường hầm, tiến trình DWAgent.exe chạy trong hệ thống, và các file 7-Zip được tạo một cách bất thường. Nếu phát hiện bất kỳ dấu hiệu nào như vậy, cần ngay lập tức cách ly hệ thống và bắt đầu quy trình incident response.

Biện pháp khắc phục

Hành động khẩn cấp đầu tiên là kiểm tra ngay tất cả hệ thống Sitecore trong tổ chức để xác định xem có đang sử dụng machine key mẫu hay không. Nếu có, cần thay đổi ngay lập tức bằng cách tạo machine key mới hoàn toàn ngẫu nhiên và duy nhất. Điều quan trọng là phải mã hóa section <machineKey> trong file web.config để tránh rò rỉ thông tin.

Bên cạnh đó, cần bật ViewState MAC validation, thiết lập quy trình xoay vòng machine key định kỳ, và tăng cường giám sát log để phát hiện các hoạt động bất thường. Đồng thời phải cập nhật tất cả các bản vá bảo mật của Sitecore và thực hiện đánh giá bảo mật toàn diện cho toàn bộ hạ tầng.

Bài học rút ra

Vụ việc này cho thấy tầm quan trọng của việc không bao giờ sử dụng các sample keys, passwords hay configurations trong môi trường production. Nó cũng nhấn mạnh sự cần thiết của việc có quy trình security review nghiêm ngặt cho mọi deployment và việc đầu tư vào đào tạo security awareness cho toàn bộ development team.

Đối với chúng ta, đây là lời nhắc nhở về việc cần thiết lập một vulnerability management program hiệu quả, xây dựng SIEM rules để phát hiện các IoCs tương tự, và đảm bảo có incident response plan được cập nhật thường xuyên. Chúng ta cũng nên xem xét việc thực hiện third-party security assessment cho các hệ thống quan trọng.

Kết luận

CVE-2025-53690 là một ví dụ điển hình cho thấy những misconfiguration đơn giản có thể dẫn đến hậu quả thảm khốc. Việc một machine key mẫu trong tài liệu có thể trở thành cửa ngỏ cho kẻ tấn công kiểm soát toàn bộ hệ thống là bài học đắt giá cho toàn bộ cộng đồng IT.

Mình khuyến khích mọi người kiểm tra ngay các hệ thống Sitecore trong phạm vi quản lý và thực hiện các biện pháp khắc phục cần thiết. Đồng thời, hãy sử dụng case study này để review lại các practices hiện tại và đảm bảo chúng ta không mắc phải những sai lầm tương tự.

Nếu ai có câu hỏi hay cần hỗ trợ thêm về việc kiểm tra và khắc phục, đừng ngần ngại liên hệ với mình. Security là trách nhiệm chung của tất cả chúng ta.

---

Nguồn tham khảo: CISA Emergency Directive, Mandiant Threat Intelligence Report, Sitecore Security Advisory, Google Threat Intelligence Analysis
​