Blog de nuage RSS
Suivre
Vulnérabilité de type Zero-Day de Désérialisation de ViewState dans les produits Sitecore (CVE-2025-53690)
Mandiant a découvert une attaque active ciblant Sitecore, exploitant une vulnérabilité de désérialisation ViewState. Cette vulnérabilité provenait d'une clé machine exemple exposée dans d'anciens guides de déploiement Sitecore. Les attaquants ont utilisé cette clé exposée pour exécuter du code à distance sur les instances Sitecore. Sitecore a identifié cela comme CVE-2025-53690 et a notifié les clients concernés. Le cycle de vie de l'attaque a commencé par une reconnaissance externe et le sondage du serveur web de Sitecore. L'attaquant a spécifiquement ciblé la page /sitecore/blocked.aspx en raison de son formulaire ViewState. Il a exploité la clé machine compromise pour créer des payloads ViewState malveillants. Après la compromission initiale, l'attaquant a obtenu les privilèges NETWORK SERVICE. Il a ensuite exfiltré des fichiers de configuration critiques, notamment web.config, pour faciliter d'autres activités malveillantes. Une reconnaissance de l'hôte et du réseau a été effectuée pour recueillir des informations sur le système. L'attaquant a installé des outils open-source comme EARTHWORM et DWAGENT dans des répertoires publics. Une escalade des privilèges a été réalisée en créant des comptes administrateurs locaux et en tentant le vol de jetons. L'acteur de la menace a vidé les ruches de registre SYSTEM et SAM pour extraire les hachages de mots de passe.