Netcrook Logo
👤 VULNCRUSADER
🗓️ 07 Sep 2025  

Catastrofe del Copia-Incolla: Come una Chiave Sitecore Dimenticata è Diventata la Chiave Maestra degli Hacker

Una grave vulnerabilità di Sitecore - radicata in vecchia documentazione e chiavi statiche - costringe a un’azione urgente da parte del governo mentre gli hacker la sfruttano per ottenere accesso profondo ai sistemi.

In breve

  • CISA ha ordinato alle agenzie federali di correggere una vulnerabilità critica di Sitecore (CVE-2025-53690) entro il 25 settembre 2025.
  • La falla deriva dall’uso diffuso di una chiave macchina di esempio pubblicata nelle guide Sitecore dal 2017 e precedenti.
  • Gli hacker hanno utilizzato questa chiave statica per ottenere esecuzione di codice remoto ed escalation dei privilegi su sistemi vulnerabili.
  • Attacchi simili hanno preso di mira altre piattaforme, sfruttando chiavi macchina pubblicamente disponibili e configurazioni insicure.
  • Gli esperti avvertono che qualsiasi istanza Sitecore che utilizza la vecchia chiave di esempio è a rischio elevato e deve ruotare immediatamente le chiavi.

Il pericolo nascosto nelle note a piè di pagina

Immagina una chiave maestra, copiata e distribuita nel manuale d’istruzioni di un edificio, che per anni apre porte in silenzio. Questa è la realtà che si sta verificando con Sitecore, un popolare sistema di gestione dei contenuti utilizzato da aziende e agenzie governative. Secondo i rapporti di Mandiant e Microsoft, una “machine key” di esempio - pensata come segnaposto nella documentazione di Sitecore - è stata ampiamente copiata nei sistemi di produzione e raramente cambiata. Ora, gli hacker hanno scoperto questa chiave scheletro, usandola per infiltrarsi inosservati in centinaia, se non migliaia, di ambienti digitali.

Cronologia di un disastro di sicurezza

Il problema, identificato come CVE-2025-53690, è salito alla ribalta dopo che i responder di Mandiant hanno interrotto un attacco in corso. La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha risposto ordinando a tutte le agenzie civili federali di correggere la falla entro il 25 settembre 2025. La vulnerabilità, con un punteggio critico di 9,0 su 10 nella scala CVSS, consente agli aggressori di eseguire codice da remoto sui server - praticamente prendendone il controllo - se conoscono la chiave macchina utilizzata.

Microsoft ha documentato per la prima volta la pratica rischiosa di riutilizzare chiavi macchina pubbliche nel febbraio 2025, rivelando che oltre 3.000 di queste chiavi erano state trovate in repository pubblici. Il metodo di attacco, noto come ViewState code injection, può trasformare una configurazione insicura in un parco giochi per hacker, consentendo tutto, dal furto di dati a una profonda ricognizione della rete.

Come funziona l’attacco - e perché si sta diffondendo

In parole semplici, la “machine key” è come un codice segreto che protegge la comunicazione tra le parti di un’applicazione web. Quando è unica e privata, tiene fuori gli intrusi. Ma se tutti usano la stessa chiave - soprattutto una pubblicata in un manuale - chiunque ne abbia una copia può aprire le porte. Nel recente attacco, gli hacker hanno usato la chiave predefinita per violare server Sitecore esposti su Internet, hanno installato un malware di ricognizione chiamato WEEPSTEEL e creato nuovi account amministratore per esplorare più a fondo le reti. Strumenti come EarthWorm e SharpHound hanno aiutato a mappare i sistemi interni, mentre il vecchio Remote Desktop Protocol (RDP) ha permesso agli attaccanti di muoversi lateralmente ed elevare i propri privilegi.

Esperti di sicurezza come Caitlin Condon di VulnCheck e Ryan Dewhurst di watchTowr sottolineano che non si tratta solo di un problema Sitecore. Lo stesso schema insicuro - copiare e incollare chiavi di esempio - ha colpito altre piattaforme, tra cui CentreStack di Gladinet e ConnectWise ScreenConnect. Gli aggressori, inclusi noti Initial Access Broker come Gold Melody, sono stati rapidi a sfruttare questi “segreti aperti”, vendendo l’accesso ad altri cybercriminali nei mercati del dark web.

Implicazioni più ampie e lezioni apprese

Sitecore ha da allora aggiornato il proprio processo di distribuzione per generare automaticamente chiavi uniche e ha avvisato i clienti a rischio. Tuttavia, il raggio d’azione rimane sconosciuto e il vero numero di sistemi compromessi potrebbe emergere solo col tempo. L’incidente è un chiaro promemoria: scorciatoie nella documentazione sulla sicurezza possono avere conseguenze che durano anni, soprattutto se copiate su larga scala. Mentre i difensori si affrettano a ruotare le chiavi e a cercare segni di compromissione, l’episodio serve da monito per qualsiasi organizzazione che si affidi a impostazioni predefinite e guide pubbliche.

WIKICROOK

  • Machine Key: Una Machine Key è un codice segreto utilizzato dalle applicazioni web per criptare dati e verificare l’autenticità, agendo come una serratura digitale per le informazioni sensibili.
  • Remote Code Execution (RCE): La Remote Code Execution (RCE) si verifica quando un attaccante esegue il proprio codice su un sistema vittima, spesso ottenendo il pieno controllo o la compromissione di quel sistema.
  • ViewState Code Injection: La ViewState Code Injection è un attacco in cui gli hacker manipolano i dati di stato di una pagina web per eseguire codice malevolo se le chiavi di sicurezza sono deboli o esposte.
  • Privilege Escalation: L’escalation dei privilegi si verifica quando un attaccante ottiene accessi di livello superiore, passando da un account utente normale a privilegi di amministratore su un sistema o una rete.
  • Initial Access Broker: Un Initial Access Broker è un cybercriminale che si infiltra nei sistemi e vende l’accesso ad altri attaccanti, abilitando ulteriori crimini informatici come ransomware o furto di dati.
VULNCRUSADER VULNCRUSADER
Advanced Vulnerability Hunter
← Back to news