Netcrook Logo
👤 WHITEHAWK
🗓️ 07 Sep 2025  

Claves expuestas, puertas ocultas: cómo un zero-day de Sitecore abrió servidores corporativos

Los atacantes aprovecharon una clave de muestra olvidada en Sitecore para instalar puertas traseras, convirtiendo un simple error de configuración en una llamada de atención global sobre ciberseguridad.

Datos rápidos

  • El zero-day de Sitecore (CVE-2025-53690) permitió a los hackers desplegar puertas traseras mediante una vulnerabilidad de deserialización de ViewState.
  • Los atacantes explotaron una clave de máquina ASP.NET de muestra que permanecía en la documentación de Sitecore anterior a 2017.
  • Malware como WeepSteel, Earthworm y Dwagent fue utilizado para reconocimiento, túneles y acceso remoto.
  • Expertos advierten que el mal uso de claves públicas es una amenaza para toda la industria, no solo un problema de Sitecore.
  • Sitecore y Mandiant instan a la rotación inmediata de claves y al cifrado de web.config para mitigar riesgos.

La trampilla que quedó abierta

Imagina una mansión con una puerta principal robusta, pero alguien dejó una llave maestra pegada al felpudo hace años y luego se olvidó de ella. Eso es, esencialmente, lo que ocurrió con Sitecore, la popular plataforma de experiencia digital. Según la investigación de Mandiant, los atacantes encontraron y usaron una clave de máquina de muestra de las guías de instalación de Sitecore anteriores a 2017, explotando una vulnerabilidad zero-day (CVE-2025-53690) y colándose por una puerta trasera que nunca debió existir.

Dentro del ataque: de ViewState a WeepSteel

No se trataba de un fallo en el código en sí, sino de un caso clásico de “mala configuración”: una clave de muestra, pensada solo para pruebas, terminó en implementaciones reales. Los atacantes apuntaron a la página /sitecore/blocked.aspx, que, como una ventana lateral sin cerrar, permitía a cualquiera con la clave adecuada enviar mensajes “ViewState” especialmente diseñados. Normalmente, ViewState sirve para recordar lo que ocurre en una página web. Pero con la clave expuesta, los hackers podían enviar instrucciones maliciosas que el servidor aceptaba y ejecutaba, dándoles control remoto.

Una vez dentro, los atacantes desplegaron WeepSteel, una puerta trasera de reconocimiento que recopilaba silenciosamente datos como nombres de usuario, procesos en ejecución y detalles de red, todo mientras se camuflaba como tráfico normal. La siguiente oleada trajo Earthworm (herramienta de túneles), Dwagent (para acceso remoto) e incluso 7-Zip para empaquetar archivos robados. Los hackers crearon cuentas de administrador, desactivaron la expiración de contraseñas y se aseguraron de que sus herramientas sobrevivieran a un reinicio, consolidando su control sobre los sistemas comprometidos.

No es un incidente aislado: la epidemia de ViewState

Aunque esta brecha de Sitecore acaparó titulares, es parte de un patrón mucho mayor. Microsoft informó en febrero que se habían encontrado más de 3.000 claves de máquina ASP.NET en repositorios públicos de código, objetivos ideales para atacantes. Ataques similares con ViewState han afectado a CentreStack de Gladinet, ScreenConnect de ConnectWise e incluso a Microsoft SharePoint, explotando claves expuestas o débiles para eludir la seguridad. Como dijo Satnam Narang de Tenable a Dark Reading, estos incidentes suelen deberse a que las organizaciones reutilizan claves por defecto o de muestra, como dejar “admin/admin” como contraseña de un router.

Los expertos insisten en que, aunque algunos ataques pueden ser oportunistas, los riesgos son sistémicos: las claves públicas facilitan demasiado la ejecución remota de código y la persistencia sigilosa. El incidente de Sitecore subraya una lección urgente para la industria: la seguridad no es solo corregir errores, sino cerrar cada ventana y cambiar cada cerradura, especialmente las que olvidaste que existían.

Conclusión: la clave olvidada que cambió las cerraduras

El zero-day de Sitecore es un recordatorio contundente de que los atajos de ayer pueden convertirse en las crisis de seguridad de hoy. Mientras las organizaciones se apresuran a rotar claves y cifrar configuraciones, el mensaje es claro: en ciberseguridad, incluso el más pequeño descuido puede abrir las puertas más grandes a los atacantes. La vigilancia, no solo contra fallos de código sino contra cada ajuste pasado por alto, es ahora más crítica que nunca.

WIKICROOK

  • ViewState: ViewState es una función de ASP.NET que almacena datos de la página entre cargas. Si no se asegura, puede ser explotada por atacantes para comprometer aplicaciones web.
  • Ataque de deserialización: Un ataque de deserialización engaña al sistema para que trate datos maliciosos como confiables, permitiendo a menudo la ejecución de código dañino o el acceso no autorizado.
  • Clave de máquina: Una clave de máquina es un código secreto que usan las aplicaciones web para cifrar datos y verificar autenticidad, actuando como una cerradura digital para información sensible.
  • Ejecución remota de código (RCE): La ejecución remota de código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de la víctima, lo que suele llevar al control total o compromiso del sistema.
  • Puerta trasera: Una puerta trasera es una forma oculta de acceder a un ordenador o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news