사이버 공격자들이 레거시 사이트코어 배포에서 제로데이 취약점을 이용하여 위프스틸(WeepSteel) 정찰 악성코드를 배포하고 있습니다. 이 취약점은 CVE-2025-53690으로 추적되며, 2017년 이전 사이트코어 가이드에 포함된 샘플 ASP.NET 기계 키의 포함으로 인한 ViewState 역직렬화 취약점입니다. 일부 고객들이 이 키를 생산에 재사용함으로써, 키를 알고 있는 공격자들이 유효하지만 악의적인 '_VIEWSTATE' 페이로드를 제작하여 서버를 속여 역직렬화하고 실행하도록 만들어 원격 코드 실행(RCE)을 유발하였습니다.
맨디언트(Mandiant) 연구원들은 이 취약점을 이용한 다단계 공격에서 위협 요인들이 활용되고 있다고 보고하였습니다. 공격자들은 인증되지 않은 ViewState 필드를 포함하는 '/sitecore/blocked. aspx' 엔드포인트를 대상으로 하여, CVE-2025-53690을 이용하여 IIS NETWORK SERVICE 계정 하에서 RCE를 달성합니다. 그들이 배포하는 악성 페이로드는 위프스틸로, 시스템, 프로세스, 디스크, 네트워크 정보를 수집하고, 그 수집 정보를 표준 ViewState 응답으로 위장합니다.
- 사이버 공격자들이 사이트코어의 레거시 배포에서 제로데이 취약점을 이용하여 위프스틸 악성코드를 배포하고 있다.
- 이 취약점은 2017년 이전 사이트코어 가이드에 포함된 샘플 ASP.NET 기계 키의 재사용으로 인해 발생하였다.
- 공격자들은 이 취약점을 이용하여 다단계 공격을 수행하고, 시스템, 프로세스, 디스크, 네트워크 정보를 수집하는 위프스틸 악성코드를 배포한다.
- 이 취약점은 사이트코어의 여러 제품에 영향을 미치며, 사이트코어는 이에 대한 보안 공지를 발표하였다.
- 관리자들은 즉시 모든 정적
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.