資安公司Mandiant揭露，一個代號CVE-2025-53690的Sitecore零日漏洞正被積極利用，掀起今年新一波ViewState反序列化攻擊。該漏洞影響Sitecore多款產品，包括體驗管理（XM）、體驗平台（XP）及體驗商務（XC），因2017年及更早部署指南中公開的ASP.NET範例機器金鑰暴露，駭客得以執行遠端程式碼執行（RCE）及反序列化攻擊。專家警告，台灣企業廣泛使用Sitecore，需立即檢查配置並輪換金鑰，以防資料外洩或系統入侵。

 

Mandiant於9月3日發布部落格，指出CVE-2025-53690為ViewState反序列化漏洞，現正被野外利用。ViewState是ASP.NET頁面框架功能，用於在頁面往返間保留頁面及控制值，透過機器金鑰保護，防止未授權存取。若金鑰暴露，駭客可針對目標伺服器執行RCE及反序列化攻擊。Mandiant調查顯示，駭客利用Sitecore部署指南中的範例機器金鑰，成功對Sitecore伺服器發動攻擊，實現RCE。該公司迅速回應，阻斷攻擊，但無法觀察完整攻擊週期。此事件為今年ViewState攻擊最新案例，凸顯公開金鑰的危險性。

 

攻擊者針對/sitecore/blocked.aspx頁面發送HTTP請求，該頁面為Sitecore合法組件，因授權問題阻擋請求時返回訊息，但包含無需驗證的隱藏ViewState表單，成為反序列化攻擊的潛在目標。Google指出，此頁面易被駭客利用，因無需身分驗證即可存取。Mandiant觀察，駭客利用公開的範例金鑰，繞過ViewState驗證機制，注入惡意負載，執行名為WEEPSTEEL的偵察惡意軟體，蒐集系統、網路及用戶資訊，並偽裝成正常ViewState回應外洩資料。隨後，駭客壓縮網站根目錄，竊取web.config等敏感檔案，並部署EARTHWORM隧道工具、DWAGENT遠端存取工具及SHARPHOUND AD偵察工具，實現權限提升及側向移動。

 

今年ViewState攻擊頻發，2月Microsoft警告發現3,000個公開暴露的ASP.NET機器金鑰，可能被用於ViewState攻擊，這些金鑰多存於程式碼儲存庫，未經修改即推入開發程式碼，風險高於暗網販售的竊取金鑰。4月，Gladinet CentreStack的零日漏洞CVE-2025-30406遭利用，涉及IIS web.config檔案中未妥善保護的機器金鑰。5月，ConnectWise因ScreenConnect的CVE-2025-3935不當驗證漏洞，遭疑似國家級駭客入侵，進行ViewState程式碼注入。7月，Microsoft SharePoint Server的CVE-2025-53770漏洞被「ToolShell」攻擊鏈利用，顯示ViewState攻擊的普遍性。

 

Huntress首席威脅情報分析師Greg Linares告訴Dark Reading，Sitecore攻擊資訊有限，難判斷與先前攻擊的共通性或當前利用範圍。他指出，/sitecore/blocked.aspx頁面常因內容過濾被探測，易成攻擊目標。Tenable資深研究工程師Satnam Narang則表示，Sitecore攻擊源自文件問題，而非意外暴露私鑰：「Sitecore提供範例機器金鑰，駭客找到文件，測試後發現可行。」他比喻類似路由器使用預設「admin-admin」憑證，組織未更改即暴露風險。Narang警告，ViewState攻擊不僅限於RCE，還可用於維持伺服器持久存取，隱形運作。

 

Sitecore發布安全建議，敦促客戶檢查環境中的可疑行為，輪換並保護ASP.NET機器金鑰，確保web.config檔案中的<machineKey>元素加密，並限制僅管理員存取。公告確認，新版部署已自動生成唯一機器金鑰，受影響客戶已獲通知。影響範圍包括XP 9.0及Active Directory 1.4或更早版本，若使用範例金鑰；多實例模式下自訂靜態金鑰的XM、XP、XC及部分Managed Cloud也可能受影響。XM Cloud、Content Hub等雲端產品則不受影響。

 

台灣資安專家分析，此漏洞對本地企業衝擊重大。Sitecore在台灣廣泛用於企業內容管理，電商及金融業尤其依賴。行政院國家資通安全會報表示，將監測ViewState相關威脅，呼籲企業審核Sitecore部署，檢查是否使用2017年或更早的範例金鑰。趨勢科技台灣區總經理洪偉淦受訪時指出：「公開範例金鑰是人為疏忽，企業應實施自動化金鑰輪換，啟用ViewState訊息認證碼（MAC）驗證，並加密web.config敏感值。」他建議使用SIEM工具監控異常HTTP請求及日誌，結合WAF過濾惡意負載。

 

此事件與近期資安趨勢呼應，如ASP.NET JSON配置檔洩露Azure AD憑證、AI輔助供應鏈攻擊影響逾千開發者，顯示配置錯誤及公開憑證的普遍風險。台灣政府可推動資安規範，強制企業採用金鑰管理最佳實務。用戶防範之道包括：檢查web.config存取權限、啟用ASP.NET安全設定、監控/sitecore/blocked.aspx流量。隨著雲端及CMS普及，ViewState攻擊料將持續，企業需強化防禦，確保金鑰安全，防範駭客開啟雲端大門。