Une vulnérabilité critique de type zero-day a été découverte dans plusieurs produits Sitecore, permettant potentiellement l’exécution de code à distance par des attaquants. Identifiée sous le code CVE-2025-53690, cette faille résulte d’un problème de désérialisation de ViewState et a été activement exploitée. La vulnérabilité est liée à des clés machine ASP.NET exposées, incluses dans les guides de déploiement obsolètes de Sitecore datant de 2017 et avant. Ces clés permettent aux attaquants de contourner la validation et d’envoyer des charges utiles ViewState malveillantes, conduisant à l’exécution de code. Sitecore a reconnu le problème, nommé SC2025-005, qui affecte les clients ayant utilisé ces clés machine obsolètes. La société a mis à jour ses processus de déploiement pour générer des clés uniques et a informé les clients concernés.
La vulnérabilité affecte des produits clés tels que Experience Manager, Experience Platform, Experience Commerce et Managed Cloud, tandis que XM Cloud, Content Hub et OrderCloud ne sont pas touchés. Sitecore a exhorté ses clients à consulter son avis officiel pour obtenir des conseils détaillés. L’enquête de Mandiant a révélé que les attaquants ont exploité la vulnérabilité sur une instance Sitecore exposée à Internet en utilisant un malware personnalisé, WEEPSTEEL, pour la reconnaissance interne. Le malware a collecté et exfiltré des informations système, réseau et utilisateur. Après l’intrusion initiale, les attaquants ont utilisé des outils tels que EARTHWORM pour le tunneling réseau, DWAGENT pour l’accès à distance et SHARPHOUND pour la reconnaissance Active Directory. Ils ont escaladé les privilèges en créant des comptes administrateur locaux et ont tenté de récupérer des identifiants pour faciliter le mouvement latéral via RDP. DWAGENT a été installé en tant que service pour maintenir l’accès.
Pour atténuer les risques, Mandiant conseille de revoir les environnements et de mettre en œuvre les meilleures pratiques de sécurité ASP.NET, notamment l’automatisation de la rotation des clés machine et l’activation du code d’authentification des messages View State (MAC). Sitecore a fourni des instructions détaillées de remédiation dans son avis SC2025-005 et exhorte ses clients à appliquer rapidement toutes les corrections de sécurité. Cette découverte souligne les risques liés à l’utilisation de configurations par défaut en production et l’importance d’une surveillance continue de la sécurité et d’une correction proactive.
