Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Hackers exploited Sitecore zero-day flaw to deploy backdoors

1 minute de lecture

Mis à jour :

Exploitation d’une faille Sitecore pour des portes dérobées

Des acteurs malveillants exploitent une faille zero-day dans d’anciennes versions de Sitecore pour déployer le malware de reconnaissance WeepSteel. Cette vulnérabilité, identifiée sous la référence CVE-2025-53690, découle d’une mauvaise configuration liée à l’utilisation d’une clé de machine ASP.NET non sécurisée, trouvée dans des guides Sitecore antérieurs à 2017. Certains clients ont réutilisé cette clé dans des environnements de production, permettant à des attaquants connaissant la clé de construire des charges utiles malveillantes (_VIEWSTATE) qui, une fois désérialisées par le serveur, conduisent à l’exécution de code à distance (RCE).

Points Clés et Vulnérabilités :

  • Vulnérabilité : CVE-2025-53690 - Vulnérabilité de désérialisation ViewState dans des déploiements Sitecore plus anciens (jusqu’à la version 9.0) utilisant la clé de machine ASP.NET d’exemple de la documentation pré-2017.
  • Cause : Réutilisation de clés de machine ASP.NET publiques jamais destinées à la production, permettant la création de charges utiles malveillantes.
  • Cible : Point d’accès ‘/sitecore/blocked.aspx’ qui contient un champ ViewState non authentifié.
  • Charge Utile Initiale : WeepSteel, un malware de reconnaissance collectant des informations système, processus, disque et réseau.
  • Activités Post-Exploitation : Déploiement d’outils comme Earthworm (proxy SOCKS), Dwagent (outil d’accès à distance), utilisation de 7-Zip pour archiver les données volées, escalade de privilèges via la création de comptes administrateurs locaux, vidage de identifiants mis en cache, et tentatives d’usurpation de jetons (token impersonating) avec GoTokenTheft.
  • Persistance : Désactivation de l’expiration des mots de passe pour les comptes compromis, activation de l’accès RDP et enregistrement de Dwagent en tant que service système.
  • Versions Impactées : Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC), et Managed Cloud, jusqu’à la version 9.0, s’ils utilisent la clé de machine ASP.NET d’exemple.
  • Produits Non Impactés : XM Cloud, Content Hub, CDP, Personalize, OrderCloud, Storefront, Send, Discover, Search, et Commerce Server.

Recommandations :

  • Remplacer immédiatement toutes les valeurs statiques de <machineKey> dans le fichier web.config par de nouvelles clés uniques.
  • S’assurer que l’élément <machineKey> dans web.config est chiffré.
  • Mettre en place une rotation régulière des clés de machine statiques comme mesure de sécurité continue.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces