“Sitecore โดนเจาะ! ช่องโหว่ ViewState เปิดทางให้มัลแวร์ WEEPSTEEL ยึดระบบแบบเงียบๆ”
ลองนึกภาพว่าคุณเป็นผู้ดูแลระบบของเว็บไซต์องค์กรที่ใช้ Sitecore ซึ่งเป็นแพลตฟอร์มจัดการเนื้อหายอดนิยมระดับโลก แล้วจู่ๆ มีแฮกเกอร์แอบเข้ามาในระบบโดยที่คุณไม่รู้ตัว ไม่ใช่เพราะโค้ดมีบั๊ก แต่เพราะคุณใช้ “คีย์ตัวอย่าง” จากเอกสารคู่มือที่ Sitecore เคยเผยแพร่ไว้ตั้งแต่ปี 2017!
ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-53690 ซึ่งเกิดจากการใช้ machine key ที่ไม่ปลอดภัยในฟีเจอร์ ViewState ของ ASP.NET โดย ViewState เป็นกลไกที่ช่วยให้เว็บจำสถานะของผู้ใช้ระหว่างการใช้งาน แต่หากคีย์ที่ใช้ในการเข้ารหัส ViewState ถูกเปิดเผย แฮกเกอร์สามารถสร้าง payload ปลอมที่ดูเหมือนถูกต้อง และส่งไปยังเซิร์ฟเวอร์เพื่อให้รันโค้ดอันตรายได้ทันที — นี่คือ Remote Code Execution (RCE) แบบเต็มรูปแบบ
มัลแวร์ที่ถูกใช้ในแคมเปญนี้ชื่อว่า WEEPSTEEL ซึ่งเป็น backdoor ที่ออกแบบมาเพื่อเก็บข้อมูลภายในระบบ เช่น รายชื่อผู้ใช้, โครงสร้างเครือข่าย, และไฟล์ config สำคัญ จากนั้นแฮกเกอร์จะใช้เครื่องมือโอเพ่นซอร์สอย่าง EARTHWORM, DWAGENT และ SHARPHOUND เพื่อขยายการควบคุมระบบ สร้างบัญชีผู้ดูแลใหม่ และขโมยข้อมูลแบบเงียบๆ
สิ่งที่น่ากลัวคือ ช่องโหว่นี้ไม่ได้เกิดจากโค้ดของ ASP.NET แต่เกิดจาก “การคัดลอกคีย์ตัวอย่าง” จากเอกสารคู่มือมาใช้จริงใน production ซึ่งเป็นพฤติกรรมที่หลายองค์กรทำโดยไม่รู้ตัว
แม้ว่า Sitecore จะออกอัปเดตใหม่ที่สร้างคีย์แบบสุ่มโดยอัตโนมัติ และแจ้งเตือนลูกค้าที่ได้รับผลกระทบแล้ว แต่ผู้เชี่ยวชาญเตือนว่า “ผลกระทบที่แท้จริงยังไม่ปรากฏ” และอาจมีการโจมตีเพิ่มเติมในอนาคต หากองค์กรไม่รีบแก้ไข
ช่องโหว่ CVE-2025-53690 ใน Sitecore
เกิดจากการใช้ machine key ตัวอย่างจากเอกสารคู่มือก่อนปี 2017
เป็นช่องโหว่ ViewState deserialization ที่เปิดทางให้ Remote Code Execution (RCE)
ส่งผลกระทบต่อ Sitecore XM, XP, XC และ Managed Cloud ที่ใช้คีย์แบบ static
ไม่กระทบต่อ XM Cloud, Content Hub, CDP, Personalize, OrderCloud และ Commerce Server
ViewState ถูกใช้ใน ASP.NET เพื่อเก็บสถานะของผู้ใช้ใน hidden field
หาก machine key ถูกเปิดเผย เซิร์ฟเวอร์จะไม่สามารถแยกแยะ payload ที่ถูกต้องกับมัลแวร์ได้
การโจมตีและมัลแวร์ WEEPSTEEL
เริ่มจากการ probe หน้า /sitecore/blocked.aspx ที่มี ViewState แบบไม่ต้องล็อกอิน
ใช้ ViewState payload ที่ฝัง WEEPSTEEL เพื่อเก็บข้อมูลระบบ
ใช้ EARTHWORM สำหรับสร้าง tunnel, DWAGENT สำหรับ remote access, SHARPHOUND สำหรับสำรวจ Active Directory
สร้างบัญชีผู้ดูแลใหม่ เช่น asp$ และ sawadmin เพื่อขโมย credentials
dump ข้อมูลจาก SAM และ SYSTEM hives เพื่อขยายการเข้าถึง
ใช้ GoTokenTheft เพื่อขโมย token และเปิดทางให้ RDP access
ลบบัญชีที่สร้างไว้หลังจากได้สิทธิ์จากบัญชีอื่น เพื่อหลบการตรวจสอบ
การตอบสนองและคำแนะนำจากผู้เชี่ยวชาญ
Sitecore ออกอัปเดตใหม่ที่สร้าง machine key แบบสุ่มโดยอัตโนมัติ
แนะนำให้ผู้ดูแลระบบเปลี่ยนคีย์ทั้งหมดใน web.config และเข้ารหัส <machineKey>
ควรหมุนเวียน machine key เป็นประจำเพื่อความปลอดภัย
ตรวจสอบระบบย้อนหลังเพื่อหาสัญญาณการเจาะระบบ
https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/
ลองนึกภาพว่าคุณเป็นผู้ดูแลระบบของเว็บไซต์องค์กรที่ใช้ Sitecore ซึ่งเป็นแพลตฟอร์มจัดการเนื้อหายอดนิยมระดับโลก แล้วจู่ๆ มีแฮกเกอร์แอบเข้ามาในระบบโดยที่คุณไม่รู้ตัว ไม่ใช่เพราะโค้ดมีบั๊ก แต่เพราะคุณใช้ “คีย์ตัวอย่าง” จากเอกสารคู่มือที่ Sitecore เคยเผยแพร่ไว้ตั้งแต่ปี 2017!
ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-53690 ซึ่งเกิดจากการใช้ machine key ที่ไม่ปลอดภัยในฟีเจอร์ ViewState ของ ASP.NET โดย ViewState เป็นกลไกที่ช่วยให้เว็บจำสถานะของผู้ใช้ระหว่างการใช้งาน แต่หากคีย์ที่ใช้ในการเข้ารหัส ViewState ถูกเปิดเผย แฮกเกอร์สามารถสร้าง payload ปลอมที่ดูเหมือนถูกต้อง และส่งไปยังเซิร์ฟเวอร์เพื่อให้รันโค้ดอันตรายได้ทันที — นี่คือ Remote Code Execution (RCE) แบบเต็มรูปแบบ
มัลแวร์ที่ถูกใช้ในแคมเปญนี้ชื่อว่า WEEPSTEEL ซึ่งเป็น backdoor ที่ออกแบบมาเพื่อเก็บข้อมูลภายในระบบ เช่น รายชื่อผู้ใช้, โครงสร้างเครือข่าย, และไฟล์ config สำคัญ จากนั้นแฮกเกอร์จะใช้เครื่องมือโอเพ่นซอร์สอย่าง EARTHWORM, DWAGENT และ SHARPHOUND เพื่อขยายการควบคุมระบบ สร้างบัญชีผู้ดูแลใหม่ และขโมยข้อมูลแบบเงียบๆ
สิ่งที่น่ากลัวคือ ช่องโหว่นี้ไม่ได้เกิดจากโค้ดของ ASP.NET แต่เกิดจาก “การคัดลอกคีย์ตัวอย่าง” จากเอกสารคู่มือมาใช้จริงใน production ซึ่งเป็นพฤติกรรมที่หลายองค์กรทำโดยไม่รู้ตัว
แม้ว่า Sitecore จะออกอัปเดตใหม่ที่สร้างคีย์แบบสุ่มโดยอัตโนมัติ และแจ้งเตือนลูกค้าที่ได้รับผลกระทบแล้ว แต่ผู้เชี่ยวชาญเตือนว่า “ผลกระทบที่แท้จริงยังไม่ปรากฏ” และอาจมีการโจมตีเพิ่มเติมในอนาคต หากองค์กรไม่รีบแก้ไข
ช่องโหว่ CVE-2025-53690 ใน Sitecore
เกิดจากการใช้ machine key ตัวอย่างจากเอกสารคู่มือก่อนปี 2017
เป็นช่องโหว่ ViewState deserialization ที่เปิดทางให้ Remote Code Execution (RCE)
ส่งผลกระทบต่อ Sitecore XM, XP, XC และ Managed Cloud ที่ใช้คีย์แบบ static
ไม่กระทบต่อ XM Cloud, Content Hub, CDP, Personalize, OrderCloud และ Commerce Server
ViewState ถูกใช้ใน ASP.NET เพื่อเก็บสถานะของผู้ใช้ใน hidden field
หาก machine key ถูกเปิดเผย เซิร์ฟเวอร์จะไม่สามารถแยกแยะ payload ที่ถูกต้องกับมัลแวร์ได้
การโจมตีและมัลแวร์ WEEPSTEEL
เริ่มจากการ probe หน้า /sitecore/blocked.aspx ที่มี ViewState แบบไม่ต้องล็อกอิน
ใช้ ViewState payload ที่ฝัง WEEPSTEEL เพื่อเก็บข้อมูลระบบ
ใช้ EARTHWORM สำหรับสร้าง tunnel, DWAGENT สำหรับ remote access, SHARPHOUND สำหรับสำรวจ Active Directory
สร้างบัญชีผู้ดูแลใหม่ เช่น asp$ และ sawadmin เพื่อขโมย credentials
dump ข้อมูลจาก SAM และ SYSTEM hives เพื่อขยายการเข้าถึง
ใช้ GoTokenTheft เพื่อขโมย token และเปิดทางให้ RDP access
ลบบัญชีที่สร้างไว้หลังจากได้สิทธิ์จากบัญชีอื่น เพื่อหลบการตรวจสอบ
การตอบสนองและคำแนะนำจากผู้เชี่ยวชาญ
Sitecore ออกอัปเดตใหม่ที่สร้าง machine key แบบสุ่มโดยอัตโนมัติ
แนะนำให้ผู้ดูแลระบบเปลี่ยนคีย์ทั้งหมดใน web.config และเข้ารหัส <machineKey>
ควรหมุนเวียน machine key เป็นประจำเพื่อความปลอดภัย
ตรวจสอบระบบย้อนหลังเพื่อหาสัญญาณการเจาะระบบ
https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/
🛡️ “Sitecore โดนเจาะ! ช่องโหว่ ViewState เปิดทางให้มัลแวร์ WEEPSTEEL ยึดระบบแบบเงียบๆ”
ลองนึกภาพว่าคุณเป็นผู้ดูแลระบบของเว็บไซต์องค์กรที่ใช้ Sitecore ซึ่งเป็นแพลตฟอร์มจัดการเนื้อหายอดนิยมระดับโลก แล้วจู่ๆ มีแฮกเกอร์แอบเข้ามาในระบบโดยที่คุณไม่รู้ตัว ไม่ใช่เพราะโค้ดมีบั๊ก แต่เพราะคุณใช้ “คีย์ตัวอย่าง” จากเอกสารคู่มือที่ Sitecore เคยเผยแพร่ไว้ตั้งแต่ปี 2017!
ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-53690 ซึ่งเกิดจากการใช้ machine key ที่ไม่ปลอดภัยในฟีเจอร์ ViewState ของ ASP.NET โดย ViewState เป็นกลไกที่ช่วยให้เว็บจำสถานะของผู้ใช้ระหว่างการใช้งาน แต่หากคีย์ที่ใช้ในการเข้ารหัส ViewState ถูกเปิดเผย แฮกเกอร์สามารถสร้าง payload ปลอมที่ดูเหมือนถูกต้อง และส่งไปยังเซิร์ฟเวอร์เพื่อให้รันโค้ดอันตรายได้ทันที — นี่คือ Remote Code Execution (RCE) แบบเต็มรูปแบบ
มัลแวร์ที่ถูกใช้ในแคมเปญนี้ชื่อว่า WEEPSTEEL ซึ่งเป็น backdoor ที่ออกแบบมาเพื่อเก็บข้อมูลภายในระบบ เช่น รายชื่อผู้ใช้, โครงสร้างเครือข่าย, และไฟล์ config สำคัญ จากนั้นแฮกเกอร์จะใช้เครื่องมือโอเพ่นซอร์สอย่าง EARTHWORM, DWAGENT และ SHARPHOUND เพื่อขยายการควบคุมระบบ สร้างบัญชีผู้ดูแลใหม่ และขโมยข้อมูลแบบเงียบๆ
สิ่งที่น่ากลัวคือ ช่องโหว่นี้ไม่ได้เกิดจากโค้ดของ ASP.NET แต่เกิดจาก “การคัดลอกคีย์ตัวอย่าง” จากเอกสารคู่มือมาใช้จริงใน production ซึ่งเป็นพฤติกรรมที่หลายองค์กรทำโดยไม่รู้ตัว
แม้ว่า Sitecore จะออกอัปเดตใหม่ที่สร้างคีย์แบบสุ่มโดยอัตโนมัติ และแจ้งเตือนลูกค้าที่ได้รับผลกระทบแล้ว แต่ผู้เชี่ยวชาญเตือนว่า “ผลกระทบที่แท้จริงยังไม่ปรากฏ” และอาจมีการโจมตีเพิ่มเติมในอนาคต หากองค์กรไม่รีบแก้ไข
✅ ช่องโหว่ CVE-2025-53690 ใน Sitecore
➡️ เกิดจากการใช้ machine key ตัวอย่างจากเอกสารคู่มือก่อนปี 2017
➡️ เป็นช่องโหว่ ViewState deserialization ที่เปิดทางให้ Remote Code Execution (RCE)
➡️ ส่งผลกระทบต่อ Sitecore XM, XP, XC และ Managed Cloud ที่ใช้คีย์แบบ static
➡️ ไม่กระทบต่อ XM Cloud, Content Hub, CDP, Personalize, OrderCloud และ Commerce Server
➡️ ViewState ถูกใช้ใน ASP.NET เพื่อเก็บสถานะของผู้ใช้ใน hidden field
➡️ หาก machine key ถูกเปิดเผย เซิร์ฟเวอร์จะไม่สามารถแยกแยะ payload ที่ถูกต้องกับมัลแวร์ได้
✅ การโจมตีและมัลแวร์ WEEPSTEEL
➡️ เริ่มจากการ probe หน้า /sitecore/blocked.aspx ที่มี ViewState แบบไม่ต้องล็อกอิน
➡️ ใช้ ViewState payload ที่ฝัง WEEPSTEEL เพื่อเก็บข้อมูลระบบ
➡️ ใช้ EARTHWORM สำหรับสร้าง tunnel, DWAGENT สำหรับ remote access, SHARPHOUND สำหรับสำรวจ Active Directory
➡️ สร้างบัญชีผู้ดูแลใหม่ เช่น asp$ และ sawadmin เพื่อขโมย credentials
➡️ dump ข้อมูลจาก SAM และ SYSTEM hives เพื่อขยายการเข้าถึง
➡️ ใช้ GoTokenTheft เพื่อขโมย token และเปิดทางให้ RDP access
➡️ ลบบัญชีที่สร้างไว้หลังจากได้สิทธิ์จากบัญชีอื่น เพื่อหลบการตรวจสอบ
✅ การตอบสนองและคำแนะนำจากผู้เชี่ยวชาญ
➡️ Sitecore ออกอัปเดตใหม่ที่สร้าง machine key แบบสุ่มโดยอัตโนมัติ
➡️ แนะนำให้ผู้ดูแลระบบเปลี่ยนคีย์ทั้งหมดใน web.config และเข้ารหัส <machineKey>
➡️ ควรหมุนเวียน machine key เป็นประจำเพื่อความปลอดภัย
➡️ ตรวจสอบระบบย้อนหลังเพื่อหาสัญญาณการเจาะระบบ
https://hackread.com/zero-day-sitecore-exploited-deploy-weepsteel-malware/
0 ความคิดเห็น
0 การแบ่งปัน
19 มุมมอง
0 รีวิว
English