La nouvelle faille RCE d’Apache Struts permet aux pirates de prendre en charge des serveurs Web

Man Yue Mo, chercheur en sécurité chez Semmle, a révélé une vulnérabilité critique d’exécution de code à distance dans le populaire framework d’application Web Apache Struts.

Qui pourrait permettre à des attaquants distants d’exécuter du code malveillant sur les serveurs concernés.

Apache Struts est un framework open source pour le développement d’applications Web dans le langage de programmation Java et est largement utilisé par les entreprises du monde entier, y compris par 65% des entreprises du Fortune 100, telles que Vodafone, Lockheed Martin, Virgin Atlantic et l’IRS.

La vulnérabilité ( CVE-2018-11776 ) réside dans le cœur d’Apache Struts et provient d’une validation insuffisante des entrées non fiables fournies par l’utilisateur dans le cœur du framework Struts sous certaines configurations.

L’exploitation Apache Struts nouvellement trouvée peut être déclenchée simplement en visitant une URL spécialement conçue sur le serveur Web concerné, ce qui permet aux pirates d’exécuter du code malveillant et de prendre le contrôle total du serveur cible exécutant l’application vulnérable.

Vulnérabilité Struts2 - Êtes-vous affecté ?

Toutes les applications qui utilisent des versions prises en charge par Apache Struts (Struts 2.3 à Struts 2.3.34 et Struts 2.5 à Struts 2.5.16) et même certaines versions d’Apache Struts non prises en charge sont potentiellement vulnérables à cette faille, même si aucun plug-in supplémentaire n’a été activé .

Votre implémentation Apache Struts est vulnérable à la faille RCE signalée si elle remplit les conditions suivantes :

  • L’ indicateur alwaysSelectFullNamespace est défini sur true dans la configuration Struts.
  • Le fichier de configuration Struts contient une balise "action" ou "url" qui ne spécifie pas l’attribut d’espace de nom facultatif ou spécifie un espace de noms avec un caractère générique.

Selon le chercheur, même si une application n’est actuellement pas vulnérable, "une modification involontaire d’un fichier de configuration Struts peut rendre l’application vulnérable à l’avenir".

Voici pourquoi vous devez prendre Apache Struts Exploiter sérieusement

l y a moins d’un an, l’agence d’évaluation de crédit Equifax a dévoilé les données personnelles de ses 147 millions de consommateurs

en raison de l’incapacité à corriger une faille Apache Struts similaire divulguée plus tôt cette année (CVE-2017-5638).

La violation d’Equifax a coûté à l’entreprise plus de 600 millions de dollars en pertes.

"Cette vulnérabilité affecte les terminaux les plus utilisés de Struts, qui sont susceptibles d’être exposés, ouvrant un vecteur d’attaque aux pirates malveillants", a déclaré Yue Mo.

« Struts est utilisé pour les sites Web accessibles au public accessibles au public, les systèmes vulnérables sont facilement identifiés et la faille est facile à exploiter », a déclaré Pavel Avgustinov, co-fondateur et vice-président de QL Engineering chez Semmle.

"Un pirate peut trouver son chemin en quelques minutes, et exfiltrer des données ou lancer d’autres attaques à partir du système compromis."

Apache Struts a corrigé la vulnérabilité avec les versions 2.3.35 et 2.5.17 de Struts. Les organisations et les développeurs qui utilisent Apache Struts sont vivement invités à mettre à niveau leurs composants Struts dès que possible.

Nous avons vu comment des révélations de failles critiques similaires dans Apache Struts ont abouti à la publication d’ exploitations PoC en une journée et à l’exploitation de la vulnérabilité dans la nature , mettant en péril les infrastructures critiques et les données des clients.

Par conséquent, il est fortement conseillé aux utilisateurs et aux administrateurs de mettre à niveau leurs composants Apache Struts vers les versions les plus récentes, même s’ils pensent que leur configuration n’est pas vulnérable pour le moment.

Ce n’est pas la première fois que l’équipe Semmle Security Research Team a signalé une faille critique dans RCE dans Apache Struts. Il y a moins d’un an, l’équipe a révélé une vulnérabilité similaire d’ exécution de code à distance (CVE-2017-9805) dans Apache Struts.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image