Les attaquants tirent parti d’un exemple de la clé de machine dans les produits Sitecore pour un accès initial avant que les injections de code ViewState ne conduisent des privilèges croissants et des mouvements latéraux à travers le réseau.
Un exemple de touche de machine ASP.NET dans les anciens guides de déploiement des produits Sitecore est exploité par les attaquants pour lancer des attaques d’injection de code ViewState qui compromettent les serveurs.
Selon l’équipe de défense des menaces de Google, après l’exploitation initiale, les attaquants déploient des outils pour intensifier les privilèges, ajouter de nouveaux utilisateurs (y compris les administrateurs), établir des tunnels à distance et vider des informations d’identification qui leur permettent d’effectuer un mouvement latéral vers d’autres hôtes du réseau.
« La compréhension approfondie de l’attaquant du produit compromis et de la vulnérabilité exploitée était évidente dans leur progression, du compromis initial du serveur à l’escalade des privilèges », a déclaré l’équipe Mandiant dans leur rapport.
Les instances de Sitecore Experience Manager (XM), de la plate-forme d’expérience (XP) et de l’expérience Commerce (XC) déployée en mode multi-instance avec des clés de machine statique gérées par le client à l’aide de la clé d’échantillonnage divulguée sont affectées par cette vulnérabilité, suivie comme CVE-2025-53690. Les cas de norme cloud gérée par Sitecore avec des conteneurs déployés en mode multi-instance pourraient également être affectés, selon l’avis de Sitecore.
Une attaque d’injection de code Viewstate
Dans le langage de programmation ASP.NET, ViewState est une méthode pour préserver l’état des pages Web sur les publications de formulaire Web. Ces informations sont stockées dans un champ HTML caché nommé __VIEWSTATE et peut être signé et crypté avec des clés, appelées ValidationKey et DecryptionKeystocké dans le fichier de configuration de l’application.
Si ces clés sont volées ou divulguées, les attaquants peuvent les utiliser pour fabriquer des charges utiles malveillantes de la vue malveillante dans les demandes de poste que le serveur se décrypte, valide et exécute en les chargeant dans la mémoire de son processus de travailleur.
Ces attaques sont connues sous le nom d’injection de code Viewstate ou de désérialisation de la vue et ne sont pas nouvelles. Microsoft a averti en décembre qu’il avait vu des attaques dans les armes à tirer parti de cette technique et avait identifié plus de 3 000 clés de machine divulguées publiquement qui pourraient être abusées.
L’attaque étudiée par Mandiant a exploité une telle clé qui a été incluse comme échantillon dans les instructions de déploiement datant de 2017 pour Sitecore XP 9.0 ou plus tôt et Active Directory 1.4. Les nouveaux déploiements de Sitecore génèrent des clés uniques pour chaque installation, mais les utilisateurs qui ont déployé leurs instances à l’aide des anciens guides de déploiement et ont utilisé les exemples de clés devraient désormais vérifier leurs installations pour des signes de compromis.
De l’accès initial au compromis complet du serveur
L’acteur de menace derrière l’incident étudié par Mandiant a exploité le CVE-2025-53690 pour injecter une assemblée .NET appelée Information.dll via Viewstate. Cet outil de collecte d’informations, que Mandiant suit comme Weepsteel, est similaire à la porte dérobée GhostContainer.
Dans le cadre de l’attaque, Weepsteel a été utilisé pour recueillir des informations sur le système et les utilisateurs et pour donner aux attaquants le privilège de service réseau sur le système, qui est le compte que le processus de travail Microsoft IIS utilise. Cela leur a permis d’exfiltrer les fichiers de configuration de l’application qui contenait des informations sensibles.
Les attaquants ont ensuite téléchargé des outils supplémentaires précédemment mis en scène dans les répertoires de musique et de vidéo. Ces outils comprenaient l’utilitaire d’archivage 7ZA.EXE, un outil de tunneling Socks V5 que Mandiant suit comme ver de terre, des scripts VBS qui contiennent des commandes malveillantes, ainsi que divers outils d’escalade de privilèges.
Les outils d’escalade des privilèges ont permis aux attaquants d’obtenir des privilèges système et de créer des comptes supplémentaires sur le système, y compris les appelés administratifs appelés asp$ et sawadmin. Des outils supplémentaires qui ont été déployés et utilisés avec ces comptes comprenaient un outil d’accès à distance appelé Dwagent et un outil de vol de jeton utilisateur appelé Gotoken.exe.
Les attaquants ont également utilisé leur accès pour vider le système et les ruches du registre SAM pour extraire les hachages de mot de passe pour tous les utilisateurs locaux configurés sur le système. Ces informations ont été utilisées pour démarrer le mouvement latéral via des séances de protocole de bureau distantes (RDP). L’outil Sharphound qui fait partie du cadre d’analyse de Bloodhound Active Directory a également été déployé.
Les attaquants ont réussi à passer à d’autres systèmes sur le réseau en utilisant RDP et les informations d’identification du compte qu’ils ont collectées. L’outil de tunneling de ver de terre a également été déployé sur ces systèmes.
Atténuation
Les utilisateurs de Sitecore qui croient que leurs déploiements pourraient être affectés devraient immédiatement examiner leur environnement pour des signes de compromis et de logiciels malveillants. Le rapport Mandiant comprend des indicateurs de compromis qui peuvent être utilisés pour construire des signatures de détection.
Les utilisateurs doivent également faire pivoter les clés des machines dans leur web.config fichiers et assurer que tout <machineKey> Les éléments de leurs fichiers de configuration sont chiffrés. Le web.config Le fichier doit être configuré pour être accessible aux administrateurs d’applications et les clés de la machine doivent être automatiquement tournées selon ASP.NET ViewState de sécurité ASP.NET de Microsoft.
