Zeroâday CVEâ2025â53690 dans Sitecore exploitĂ© via ViewState et clĂ©s machine exposĂ©es
Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposĂ©es sur Internet via une dĂ©sĂ©rialisation ViewState exploitant la zeroâday CVEâ2025-53690, en sâappuyant sur des clĂ©s machine dâexemple issues dâanciens guides de dĂ©ploiement. Sitecore a corrigĂ© le problĂšme et a notifiĂ© les clients utilisant des configurations hĂ©ritĂ©es avec ces clĂ©s. Lâattaque passe par lâendpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dĂ©diĂ© Ă la reconnaissance, qui collecte des informations systĂšme et les exfiltre via des champs HTML cachĂ©s. Le ou les acteurs ont ensuite Ă©levĂ© les privilĂšges de NETWORK SERVICE vers SYSTEM, crĂ©Ă© des comptes administrateurs locaux, procĂ©dĂ© Ă un dump des hives SAM/SYSTEM et dĂ©ployĂ© plusieurs outils pour la persistance, le mouvement latĂ©ral et la reconnaissance AD : EARTHWORM (tunneling rĂ©seau), DWAGENT (accĂšs Ă distance) et SHARPHOUND (cartographie Active Directory). ...