C'est une erreur de configuration aux conséquences potentiellement dévastatrices. Des acteurs malveillants exploitent une faille "zéro-day" (CVE-2025-53690) affectant plusieurs produits de l'écosystème Sitecore (Experience Manager, Experience Platform, etc.).

Le plus troublant ? Il ne s'agit pas d'un bug logiciel complexe, mais de l'utilisation d'une clé de machine ASP.NET d'exemple, publiquement documentée par l'éditeur avant 2017, et que des administrateurs n'ont jamais changée. L'agence américaine CISA a déjà ajouté la faille à son catalogue des vulnérabilités activement exploitées.

Sitecore

Comment fonctionne cette attaque par désérialisation ViewState ?

Le cœur du problème réside dans une attaque par désérialisation ViewState. Pour faire simple, la technologie ASP.NET de Microsoft utilise une fonction appelée ViewState pour conserver des informations entre les requêtes d'une page web.

Ces données sont protégées par une clé de machine qui garantit leur intégrité. Si cette clé est compromise – ou, comme ici, connue de tous car il s'agit d'un exemple public – un attaquant peut forger une charge malveillante et la soumettre au serveur, qui la traitera comme légitime. C'est une porte d'entrée directe pour exécuter du code à distance.

hacker

Que font les pirates une fois le système compromis ?

Les chercheurs de Mandiant, qui ont observé des attaques en cours, décrivent une chaîne d'exploitation méthodique. Une fois l'accès initial obtenu, les pirates déploient un malware de reconnaissance baptisé WEEPSTEEL.

Cet outil leur permet de collecter des informations sur le système, le réseau et les utilisateurs. Dans un second temps, ils archivent le répertoire racine de l'application web pour exfiltrer des fichiers sensibles, comme le fameux `web.config` contenant des secrets.

hacker 1

L'attaque se poursuit par une élévation de privilèges, la création de comptes administrateurs et l'utilisation d'outils pour se déplacer latéralement sur le réseau de la victime.

Quels produits sont concernés et comment se protéger ?

La faille affecte potentiellement toutes les instances de Sitecore XM, XP, XC et Managed Cloud déployées en mode multi-instance avec une clé de machine statique issue des anciennes documentations (avant la version 9.0). La correction n'est pas un simple patch logiciel, mais une action manuelle cruciale :

  • Remplacer immédiatement toutes les valeurs `` statiques dans les fichiers `web.config` par de nouvelles clés uniques.
  • S'assurer que cet élément `` est bien chiffré.
  • Restreindre l'accès aux fichiers `web.config` aux seuls administrateurs.

Sitecore recommande désormais une rotation régulière de ces clés comme une mesure d'hygiène de sécurité indispensable.

Foire Aux Questions (FAQ)

Mon installation est-elle vulnérable si j'utilise une vieille version de Sitecore ?

Pas forcément. La vulnérabilité ne concerne que les installations qui ont utilisé la clé de machine d'exemple fournie dans la documentation datant d'avant 2017 et qui n'a jamais été modifiée depuis. Les déploiements plus récents génèrent automatiquement une clé unique et ne sont donc pas concernés par cette faille spécifique.

Pourquoi cette faille est-elle si critique ?

Son score de criticité (9.0/10) s'explique par le fait qu'elle permet une exécution de code à distance (RCE) sans nécessiter d'authentification préalable. C'est le pire scénario en matière de sécurité web, car cela donne aux attaquants un contrôle quasi total sur le serveur compromis, qui devient alors une tête de pont pour attaquer le reste du réseau de l'entreprise.