Các nhóm bảo mật đã phát đi cảnh báo khẩn cấp sau khi các nhà nghiên cứu từ Google phát hiện các cuộc tấn công đang hoạt động nhắm vào một lỗ hổng zero-day mới. Lỗ hổng này ảnh hưởng đến các sản phẩm của Sitecore, một nền tảng quản lý nội dung hàng đầu. Được định danh là CVE-2025-53690, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa (remote code execution) trên các máy chủ chưa được cập nhật bản vá. Kẻ tấn công khai thác điểm yếu này bằng cách thao túng cơ chế ViewState trong ứng dụng ASP.NET, dẫn đến khả năng chiếm quyền điều khiển hệ thống.

Giải mã Cơ chế Khai thác ViewState Deserialization

Sitecore, với vai trò là hệ thống quản lý nội dung số (CMS) và trải nghiệm khách hàng (DXP) phổ biến, đã cung cấp các hướng dẫn triển khai từ năm 2017 trở về trước. Đáng chú ý, các hướng dẫn này đã bao gồm một khóa máy (machine key) mẫu. Vấn đề nghiêm trọng phát sinh khi các quản trị viên, thay vì tự tạo một khóa duy nhất và mạnh mẽ, lại tái sử dụng khóa mẫu này. Hành động này vô tình mở ra một cánh cửa cho các cuộc tấn công deserialization ViewState.

Trong môi trường ASP.NET, ViewState là một cơ chế thiết yếu. Nó chịu trách nhiệm lưu trữ trạng thái của các điều khiển trang web và dữ liệu người dùng qua các yêu cầu HTTP dưới dạng một trường ẩn trong biểu mẫu. Khi dữ liệu ViewState được tuần tự hóa (serialized) và gửi đến trình duyệt, sau đó được gửi lại máy chủ, nó phải được giải tuần tự hóa (deserialized) và xác thực một cách an toàn.

Nếu kẻ tấn công có thể tạo ra một tải trọng ViewState độc hại và máy chủ chấp nhận, giải tuần tự hóa tải trọng đó mà không có xác thực hoặc mã hóa phù hợp (do việc sử dụng khóa máy yếu), chúng có thể tiêm và thực thi mã tùy ý. Đây chính là bản chất của lỗ hổng zero-day trong Sitecore.

Chi tiết Kỹ thuật về CVE-2025-53690 và Phát hiện

Vụ việc liên quan đến lỗ hổng zero-day này lần đầu tiên được nhóm Mandiant Threat Defense của Google phát hiện trong một cuộc điều tra phản ứng sự cố. Trong quá trình tấn công, kẻ xấu đã gửi các yêu cầu POST được tạo đặc biệt tới đường dẫn /sitecore/blocked.aspx. Hành vi này đã kích hoạt các mục nhật ký ghi nhận lỗi xác thực ViewState, cung cấp manh mối quan trọng về sự cố.

Điểm mấu chốt của cuộc tấn công là khả năng truy cập và sử dụng khóa máy mẫu bị lộ. Với khóa này, kẻ tấn công có thể giải mã dữ liệu ViewState hợp pháp, sửa đổi nội dung của nó để chèn mã độc. Cụ thể, chúng đã thêm một phần mềm độc hại trinh sát được gọi là WEEPSTEEL vào dữ liệu ViewState đã sửa đổi. Đây là một bước quan trọng trong việc khai thác lỗ hổng zero-day này.

Phần mềm độc hại WEEPSTEEL có nhiệm vụ thu thập các thông tin chi tiết về hệ thống bị tấn công. Sau đó, nó gửi các thông tin này trở lại kẻ tấn công thông qua một phản hồi ViewState giả mạo. Quá trình này cung cấp cho kẻ tấn công dữ liệu cần thiết để lập kế hoạch cho các giai đoạn tấn công tiếp theo.

Chuỗi Tấn Công và Duy trì Quyền truy cập

Sau khi hoàn thành giai đoạn trinh sát ban đầu bằng WEEPSTEEL, kẻ tấn công đã tiếp tục chuỗi tấn công với nhiều công cụ và kỹ thuật khác. Điều này cho thấy sự tinh vi và mục tiêu rõ ràng của chúng trong việc duy trì quyền kiểm soát và mở rộng phạm vi xâm nhập.

Kẻ tấn công đã sử dụng công cụ nén tệp phổ biến là 7-Zip. Mục đích là để nén và lưu trữ các tệp quan trọng, có thể chuẩn bị cho việc đánh cắp hoặc xóa dữ liệu. Đây là một bước thường thấy trong các cuộc tấn công nhằm thu thập dữ liệu có giá trị.

Để thiết lập và duy trì các kênh liên lạc ẩn và an toàn, các công cụ tạo đường hầm (tunneling tools) như EARTHWORM đã được triển khai. EARTHWORM cho phép kẻ tấn công tạo các kết nối bí mật, tránh bị phát hiện bởi các hệ thống giám sát mạng thông thường và củng cố khả năng truy cập liên tục vào hệ thống Sitecore bị xâm nhập.

Bước cuối cùng để đảm bảo sự tồn tại lâu dài là cài đặt tiện ích truy cập từ xa DWAGENT. DWAGENT cung cấp cho kẻ tấn công khả năng kiểm soát toàn diện và bền vững đối với máy chủ bị xâm nhập, cho phép chúng thực hiện các hoạt động từ xa mà không bị gián đoạn. Đây là một dấu hiệu rõ ràng của việc chiếm quyền điều khiển hoàn toàn.

Các Phiên Bản Bị Ảnh Hưởng và Yêu cầu Sitecore Bảo mật Cấp bách

Sitecore đã chính thức xác nhận các phiên bản sản phẩm bị ảnh hưởng bởi lỗ hổng zero-day nghiêm trọng này. Cụ thể, các phiên bản bao gồm Sitecore XP 9.0 và Active Directory 1.4 hoặc các phiên bản cũ hơn. Tuy nhiên, điều kiện để lỗ hổng bị khai thác là các phiên bản này phải được triển khai bằng cách sử dụng khóa máy mẫu đã được đề cập trong các hướng dẫn cũ.

Việc sử dụng khóa máy không duy nhất này là nguyên nhân gốc rễ, làm giảm đáng kể mức độ Sitecore bảo mật của toàn bộ hệ thống. Trong một nỗ lực để khắc phục vấn đề này, các gói cài đặt Sitecore đã được cập nhật. Các gói mới này giờ đây tự động tạo ra một khóa máy duy nhất trong quá trình cài đặt, loại bỏ nguy cơ sử dụng khóa mẫu. Điều này làm cho việc cập nhật là một biện pháp bảo mật thiết yếu để chống lại lỗ hổng zero-day.

Chỉ Số Bị Xâm Phạm (Indicators of Compromise – IOCs)

Để phát hiện và ứng phó kịp thời với các cuộc tấn công khai thác lỗ hổng zero-dayCVE-2025-53690, các tổ chức nên chủ động tìm kiếm các chỉ số bị xâm phạm (IOCs) sau đây trong môi trường của mình:

• Phát hiện các yêu cầu POST độc hại, bất thường nhắm tới đường dẫn /sitecore/blocked.aspx trên máy chủ.
• Các mục nhật ký của ứng dụng hoặc máy chủ hiển thị lỗi xác thực ViewState không mong muốn hoặc bất thường.
• Sự hiện diện của các tệp thực thi hoặc dấu vết của phần mềm độc hại trinh sát WEEPSTEEL trên hệ thống.
• Triển khai và hoạt động của các công cụ tạo đường hầm như EARTHWORM, có thể thông qua các kết nối mạng lạ.
• Cài đặt hoặc hoạt động bất thường của tiện ích truy cập từ xa DWAGENT.
• Bất kỳ bằng chứng nào về việc giải mã hoặc sửa đổi trái phép dữ liệu ViewState, đặc biệt là trong các tệp lưu trữ phiên.
• Các hoạt động nén tệp bất thường bằng 7-Zip hoặc các công cụ tương tự, đặc biệt khi nhắm mục tiêu các tệp hệ thống hoặc dữ liệu nhạy cảm.

Khuyến Nghị Giảm Thiểu và Nâng cao Sitecore Bảo mật

Để bảo vệ hệ thống khỏi lỗ hổng zero-dayCVE-2025-53690 và tăng cường Sitecore bảo mật tổng thể, các quản trị viên và đội ngũ an ninh mạng cần thực hiện các hành động khẩn cấp sau:

• Kiểm toán và Xoay vòng Khóa Máy: Các tổ chức đang sử dụng sản phẩm Sitecore phải ngay lập tức kiểm toán tất cả các triển khai của họ để xác định bất kỳ trường hợp nào sử dụng khóa máy mẫu từ năm 2017. Nếu phát hiện, cần xoay vòng bất kỳ khóa máy nào được lưu trữ trong tệp web.config của họ. Quá trình này phải được thực hiện cẩn thận để tránh gián đoạn dịch vụ.
• Cập nhật Phần Mềm Lên Phiên Bản Mới Nhất: Đảm bảo rằng tất cả các cài đặt Sitecore đang chạy các gói cài đặt đã cập nhật. Các phiên bản này tự động tạo ra một khóa máy duy nhất và mạnh mẽ trong quá trình thiết lập, loại bỏ nguyên nhân gốc rễ của lỗ hổng.
• Giám sát và Kiểm tra Nhật ký Thường xuyên: Thường xuyên xem xét nhật ký hệ thống và ứng dụng để tìm các sự kiện chỉ ra việc giả mạo ViewState, các yêu cầu đến /sitecore/blocked.aspx, hoặc bất kỳ hoạt động đáng ngờ nào liên quan đến thực thi mã.
• Tham khảo Hướng dẫn Bảo mật của Sitecore: Nghiên cứu kỹ lưỡng và tuân thủ khuyến nghị SC2025-005 của Sitecore để biết hướng dẫn chi tiết về việc bảo vệ chống lại lỗ hổng này. Thông tin kỹ thuật chi tiết hơn về CVE-2025-53690 cũng có thể được tìm thấy trên trang Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD).
• Áp dụng Nguyên tắc Bảo mật Tối thiểu (Principle of Least Privilege): Đảm bảo rằng các tài khoản dịch vụ và người dùng có quyền hạn tối thiểu cần thiết để vận hành, giảm thiểu tác động nếu xảy ra xâm phạm.

Việc áp dụng bản vá kịp thời và thực hiện các biện pháp xoay vòng khóa máy là vô cùng quan trọng. Những hành động này sẽ giúp đóng lại lỗ hổng nghiêm trọng này, bảo vệ hệ thống khỏi các cuộc tấn công đang diễn ra và củng cố vững chắc Sitecore bảo mật tổng thể trong môi trường doanh nghiệp.