La raíz de este zero-day se encuentra en la mala práctica de copiar claves de ejemplo para la configuración de machineKey en despliegues de Sitecore XP 9.0 y versiones de Active Directory 1.4 y previas. El fallo permite a los atacantes explotar la deserialización insegura de ViewState en aplicaciones ASP.NET, logrando RCE (ejecución remota de código) en servidores expuestos a Internet. Una vez dentro, los cibercriminales desplegaron el malware WEEPSTEEL para el reconocimiento interno, y herramientas como EARTHWORM (túnel de red), DWAGENT (RAT), y SHARPHOUND (reconocimiento AD), continuando con escalada de privilegios y movimientos laterales.
La explotación de CVE-2025-53690 expone a compromiso total de los sistemas afectando integridad, confidencialidad y disponibilidad. Permite robo de credenciales, exfiltración de archivos críticos (ej. web.config), persistencia mediante malware, creación de cuentas administrativas locales, y uso de RDP para expansión interna. El vector principal son sistemas Sitecore antiguos o mal configurados expuestos directamente a Internet.
Sitecore recomienda actualizar a las versiones más recientes, que ya generan machine keys únicas automáticamente, y cambiar inmediatamente cualquier clave estática usada por defecto. Se aconseja revisar logs, buscar signos de compromiso, eliminar herramientas de persistencia y reforzar la seguridad perimetral. Además, se debe limitar el acceso externo al CMS y practicar auditorías regulares de configuración.
