Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposées sur Internet via une désérialisation ViewState exploitant la zero‑day CVE‑2025-53690, en s’appuyant sur des clés machine d’exemple issues d’anciens guides de déploiement. Sitecore a corrigé le problème et a notifié les clients utilisant des configurations héritées avec ces clés.
L’attaque passe par l’endpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dédié à la reconnaissance, qui collecte des informations système et les exfiltre via des champs HTML cachés. Le ou les acteurs ont ensuite élevé les privilèges de NETWORK SERVICE vers SYSTEM, créé des comptes administrateurs locaux, procédé à un dump des hives SAM/SYSTEM et déployé plusieurs outils pour la persistance, le mouvement latéral et la reconnaissance AD : EARTHWORM (tunneling réseau), DWAGENT (accès à distance) et SHARPHOUND (cartographie Active Directory).
L’exploitation s’appuie sur des clés machine ASP.NET révélées dans d’anciens guides de déploiement, permettant une exécution de code à distance (RCE) via le ViewState. Les cibles sont spécifiquement des instances Sitecore accessibles depuis Internet utilisant encore ces configurations héritées.
IOC et artefacts observables 🚩:
- Comptes locaux créés : asp$, sawadmin
- Endpoint ciblé : /blocked.aspx
- Outils/malwares : WEEPSTEEL, EARTHWORM, DWAGENT, SHARPHOUND
TTPs (techniques observées) 🧭:
- Désérialisation ViewState pour RCE
- Escalade de privilèges de NETWORK SERVICE vers SYSTEM
- Création de comptes admin et persistance
- Dump des hives SAM/SYSTEM pour credential dumping
- Exfiltration via champs HTML cachés
- Tunneling réseau et reconnaissance Active Directory
Il s’agit d’une analyse de menace détaillant une exploitation zero‑day en cours, les outils utilisés et les méthodes de l’acteur, avec pour objectif principal l’information et la sensibilisation des organisations concernées.
🧠 TTPs et IOCs détectés
TTPs
[‘Désérialisation ViewState pour RCE’, ‘Escalade de privilèges de NETWORK SERVICE vers SYSTEM’, ‘Création de comptes admin et persistance’, ‘Dump des hives SAM/SYSTEM pour credential dumping’, ‘Exfiltration via champs HTML cachés’, ‘Tunneling réseau’, ‘Reconnaissance Active Directory’]
IOCs
[‘Comptes locaux créés : asp$, sawadmin’, ‘Endpoint ciblé : /blocked.aspx’, ‘Outils/malwares : WEEPSTEEL, EARTHWORM, DWAGENT, SHARPHOUND’]
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability/