31
Les acteurs de la menace ont exploité une vulnérabilité zéro jour en héritage Sitecore déploiements pour déployer des logiciels malveillants de reconnaissance de weepsteel.
La faille, suivie sous CVE-2025-53690, est une vulnérabilité de désérialisation de la vue provoquée par l’inclusion d’une clé de machine ASP.NET ASP.NET dans les guides de Sitecore avant 2017.
Certains clients ont réutilisé cette clé de production, permettant aux attaquants avec la connaissance de la clé pour élaborer des charges utiles valides, mais malveillantes ‘_Viewstate’ qui ont incité le serveur à les désérialiser et à les exécuter, conduisant à l’exécution du code à distance (RCE).
Le défaut n’est pas un bug dans ASP.NET lui-même, mais une vulnérabilité erronée créée par la réutilisation des clés documentées publiques qui n’ont jamais été destinées à la production.
Activité d’exploitation
Les chercheurs mandiants, qui ont découvert l’activité malveillante dans la nature, rapportent que les acteurs de la menace ont tiré parti de la faille dans les attaques à plusieurs étapes.
Les attaquants ciblent le ‘/ sitecore / bloqué. Le point de terminaison d’ASPX, qui contient un champ ViewState non authentifié, et réalise RCE sous le compte de service réseau IIS en tirant parti de CVE-2025-53690.
La charge utile malveillante qu’ils abandonnent est Weepsteel, une porte dérobée de reconnaissance qui rassemble le système, le processus, le disque et les détails du réseau, déguisant son exfiltration comme des réponses standard de Viewstate.
Contexte expert
L’analyse suggère que l’exploitation de cette vulnérabilité met en évidence les risques associés à l’utilisation de configurations par défaut ou d’échantillons dans des environnements de production. La réutilisation de la touche de machine ASP.NET, initialement destinée à des fins de démonstration, a créé une avenue pour que les attaquants aient un accès non autorisé. Il est en effet entendu que la bonne gestion de la configuration et les audits de sécurité réguliers sont cruciaux pour atténuer ces risques. L’utilisation de logiciels malveillants de reconnaissance comme Weepsteel indique un potentiel d’activité malveillante après un compromis initial, car les attaquants recueillent des informations pour identifier des cibles précieuses dans le réseau compromis.
Les détails concernant le nombre de clients concernés, les frais spécifiques déposés ou les blessures résultant de ces attaques n’ont pas été libérées.
Chronologie
- 2025: CVE-2025-53690, la vulnérabilité de désérialisation de la vue, a été découverte.
- Avant 2017: Les exemples de touches de machine ASP.NET ont été inclus dans les guides Sitecore.
- Récent: Les acteurs de la menace ont commencé à exploiter la vulnérabilité dans la nature.
Questions fréquemment posées
- Qu’est-ce qu’une vulnérabilité à jour zéro? Une vulnérabilité zéro-jour est un défaut logiciel inconnu du fournisseur et pour lequel aucun correctif n’est disponible.
- Qu’est-ce que Viewstate? ViewState est une fonctionnalité dans ASP.NET qui permet au serveur de maintenir l’état d’une page Web sur plusieurs demandes.
- Qu’est-ce que les logiciels malveillants de reconnaissance? Le malware de reconnaissance est un type de logiciel malveillant utilisé pour recueillir des informations sur un système ou un réseau cible.
L’exploitation de ce vulnérabilité souligne l’importance des pratiques de sécurité diligentes, en particulier dans les systèmes hérités. Les organisations utilisant des déploiements de Sitecore plus anciens devraient hiérarchiser la révision de leurs configurations et l’application de toute atténuation disponible pour se protéger contre les attaques potentielles impliquant ce vulnérabilité.
Vulnérabilité Viewstate de Sitecore: ce que vous devez savoir
Une faille de sécurité critique dans les versions Sitecore plus anciennes est maintenant activement exploitée par les attaquants, mettant vos données en danger.
Q: Quelle est exactement la vulnérabilité qui affecte le Sitecore?
UN: Les acteurs de la menace exploitent une faille zéro-jour, identifiée comme CVE-2025-53690, ciblant spécifiquement les déploiements hérités de Sitecore. Cette vulnérabilité découle d’un problème de désérialisation de la vue.
Q: Comment cette vulnérabilité Viewstate est-elle née?
UN: Le problème s’est posé parce que les échantillons de clés de machine ASP.NET ont été inclus dans les guides Sitecore publiés avant 2017. Malheureusement, certains clients ont continué à utiliser ces exemples de clés dans leurs environnements de production en direct.
Q: Quel type de logiciels malveillants est déployé en utilisant ce défaut?
UN: Les attaquants utilisent cette vulnérabilité pour déployer des logiciels malveillants de reconnaissance Weepsteel, qui est conçu pour recueillir des informations sur les systèmes compromis.
Q: Qu’est-ce qu’une «vulnérabilité zéro-jour»?
UN: Une vulnérabilité zero-day est un défaut de sécurité qui est inconnu du fournisseur de logiciels, ce qui signifie qu’il n’y a pas de correctif disponible pour le réparer lors de sa découverte ou exploitée pour la première fois.
Q: Pouvez-vous expliquer «Viewstate» dans ASP.NET?
UN: ViewState est une fonctionnalité dans ASP.NET qui aide à maintenir l’état d’une page Web sur plusieurs demandes. Il permet au serveur de se souvenir des données d’une visite à la suivante.
Q: Comment les attaquants exploitent-ils ce défaut Viewstate?
UN: Les attaquants ayant une connaissance de la touche de machine divulguée peuvent créer des données «_viewstate» spécialement conçues. Lorsque le serveur désérialise ces données malveillantes, cela peut conduire à l’exécution d’un code arbitraire sur le serveur.
Q: Est-ce un bug dans ASP.NET lui-même?
UN: Non, le problème n’est pas un bug dans le code de base d’ASP.NET. Il est considéré comme une vulnérabilité erronée causée par la pratique précaire de réutiliser des clés partagées publiquement qui n’ont jamais été destinées à une utilisation en production.
Q: Que signifie «l’exécution du code distant» (RCE) dans ce contexte?
UN: L’exécution du code distant signifie qu’un attaquant peut exécuter son propre code sur votre serveur à partir d’un emplacement distant, ce qui pourrait entraîner un compromis complet du système.
Q: Pourquoi ces échantillons de clés de machine ont-ils été inclus dans les guides de Sitecore?
UN: Le texte source indique qu’ils ont été inclus comme échantillons dans les guides publiés avant 2017, probablement à des fins d’illustration et non pour le déploiement de la production.
Q: Quels sont les risques pour les organisations utilisant des versions Sitecore plus anciennes?
UN: Les organisations qui exécutent des déploiements plus anciens Sitecore sont à un risque accru de baisser les attaques en utilisant cette vulnérabilité, ce qui entraîne potentiellement des violations de données ou une prise de contrôle du système.
Passez en revue vos configurations Sitecore immédiatement pour se prémunir contre cette exploitation.
https://www.youtube.com/watch?v=2UTGZJRBDXI