Une vulnérabilité critique de type zero-day dans Sitecore a été exploitée en raison d’une mauvaise configuration impliquant des clés machine ASP.NET publiques, initialement fournies dans la documentation du fournisseur. Identifiée sous le code CVE-2025-53690, cette faille a été utilisée par des attaquants pour exécuter du code à distance en exploitant des clés exposées. La vulnérabilité touche les clients qui ont implémenté la clé d’exemple fournie dans les guides de déploiement de Sitecore, en particulier pour les versions 9.0 et antérieures de la plateforme Sitecore Experience.
Le problème provient du fait que des utilisateurs ont copié des clés d’exemple issues de la documentation officielle au lieu de générer des clés uniques et aléatoires, rendant ainsi les systèmes vulnérables aux attaques de désérialisation ViewState. Bien que Mandiant soit intervenu pour perturber l’attaque, l’ampleur totale de celle-ci reste floue. L’attaquant a exploité la vulnérabilité pour déployer des logiciels malveillants et mener des opérations de reconnaissance après avoir accédé aux systèmes compromis.
Sitecore recommande de renouveler les clés machine et de vérifier les signes d’attaques ViewState. Cependant, le renouvellement des clés ne protégera pas les systèmes déjà compromis. Cet incident souligne l’importance de ne pas utiliser des clés de remplacement dans les environnements de production, une responsabilité partagée à la fois par les utilisateurs et le fournisseur. L’étendue de l’impact sur les organisations reste indéterminée, mettant en lumière la nécessité de rester vigilant lors de la configuration et du déploiement des logiciels.
