Maksim Kabakou - Fotolia
Apache Struts 2 : une importante vulnérabilité à corriger d’urgence
Une vulnérabilité dans le framework pour applications Web Java EE apparaît activement exploitée : elle permet d’exécution de code à distance. Mais un correctif est déjà disponible.
C’est en tout début de semaine qu’un correctif pour le module Jakarta du framework Apache Struts 2 pour applications Web Java EE, a reçu un important correctif. Ce module doit assurer le traitement des contenus transmis en plusieurs parties. Mais voilà, une vulnérabilité présente dans les versions 2.3.5 à 2.3.31 et 2.5 à 2.5.10 permet à un attaquant de forcer l’exécution de code arbitraire à distance.
Les équipes de Cisco spécialisées dans le renseignement sur les menaces, Talos, se sont rapidement mis en quête de tentatives d’exploitation de cette vulnérabilité. Dans un billet de blog publié en milieu de semaine, elles indiquent en avoir « trouvé un grand nombre ». La majorité des tentatives « semble mettre à profit un démonstrateur rendu public pour lancer diverses commandes ». Et le tout avec des niveaux de sophistication variés, depuis la simple reconnaissance jusqu’au dépôt d’une charge malveillante intégrant des composants chargées d’essayer d’en assurer la persistance en cas de redémarrage du serveur compromis.
Rapid7 a également observé de nombreuses attaques, notamment après l’intégration du support de la vulnérabilité dans un module pour Metasploit. La fréquence des attaques semble avoir baissé, mais selon certains, « le volume et la criticité des services affectés est simplement dramatique ». L’application des correctifs disponible apparaît donc urgente.
Toutefois, il n’en existe pas moins d’autres remèdes. Les équipes de Talos indiquent ainsi avoir fournit des règles de protection pour les équipements Firepower ainsi que pour Snort. Qualys indique également comment créer une règle personnalisée pour son pare-feu applicatif (WAF) afin de bloquer les tentatives d’exploitation de la vulnérabilité.
Akamai tire également la sonnette d’alarme et suggère la mise en œuvre d’une règle dédiée dans l’attente de l’application du correctif. F5 Networks propose également une solution de remédiation, de même que Trend Micro, pour les clients de ses solutions Deep Security, Deep Discovery Inspector, et TippingPoint, ou encore Check Point, et l’irlandais Waratek, récompensé dans le cadre de l’Innovation Sandbox de l’édition 2015 de RSA Conference.