Y a-t-il une vulnérabilité critique dans les produits Sitecore permettant l’exécution de code à distance ?

Le 4 septembre 2025, une vulnérabilité de type zero-day a été découverte dans les produits Sitecore, identifiée sous le code CVE-2025-53690. Cette faille permettait aux attaquants d’exploiter les clés de machine ASP.NET pour déployer des charges utiles ViewState malveillantes, conduisant à une exécution de code à distance et à une infiltration étendue du réseau. Liée à des guides de déploiement obsolètes, la vulnérabilité a affecté de nombreux environnements sur site et gérés par les clients, entraînant des avis urgents et des correctifs de la part de Sitecore.

Le problème provenait de valeurs statiques ASP.NET dans la documentation de Sitecore pour les versions plus anciennes, qui, si elles n’étaient pas modifiées, permettaient aux attaquants de contourner les vérifications d’intégrité de ViewState. En ciblant le point de terminaison /sitecore/blocked.aspx, les attaquants pouvaient compromettre les serveurs. Les journaux IIS montraient des requêtes HTTP POST avec des erreurs “ViewState verification failed”, indiquant l’utilisation de clés de machine légitimes et d’outils comme ysoserial.net pour créer des charges utiles malveillantes.

Une fois désérialisée, la charge activait une assembly .NET nommée WEEPSTEEL, collectant des informations système et réseau. Le logiciel malveillant sérialisait ces données en JSON, les déguisant en données ViewState bénignes pour l’exfiltration. Cela permettait aux attaquants de cartographier discrètement l’environnement de la victime.

Après l’exécution initiale du code sous le compte NETWORK SERVICE, les attaquants archivaient la racine web, ciblant des fichiers sensibles pour extraire des secrets de configuration. Des commandes de reconnaissance fournissaient un profil détaillé de l’environnement, tandis que des répertoires publics étaient utilisés pour mettre en scène des outils comme EARTHWORM, DWAGENT et SHARPHOUND.

L’escalade de privilèges a été réalisée en créant des comptes administrateur locaux trompeurs pour extraire des hachages de mots de passe et obtenir des identifiants au niveau du domaine. En utilisant des identifiants administrateur valides, les attaquants se déplaçaient entre les hôtes via RDP, effectuant une découverte interne et supprimant les comptes temporaires pour masquer leurs traces.

Sitecore a réagi en publiant le Bulletin de sécurité SC2025-005, conseillant aux clients de vérifier les anomalies et de faire tourner les clés de machine statiques. Les recommandations incluaient l’automatisation de la rotation des clés de machine, l’activation du MAC et du chiffrement ViewState, la sécurisation des fichiers de configuration et la surveillance des indicateurs de compromission.

Les organisations utilisant des applications ASP.NET sont exhortées à appliquer ces leçons de manière générale pour se protéger contre les menaces de désérialisation et d’injection de code. En corrigeant les erreurs de configuration et en adoptant des pratiques de gestion des clés robustes, les clients de Sitecore peuvent mieux se défendre contre des adversaires sophistiqués ciblant les vulnérabilités de la couche applicative.