Maksim Kabakou - Fotolia
Apache Struts : une vulnérabilité présente depuis 2008
Découverte en juillet par un chercheur, elle permet de forcer l’exécution de code arbitraire à distance sur les serveurs affectés. La vulnérabilité apparaît activement exploitée. Un correctif est disponible.
Man Yue Mo, chercheur pour le projet open source LGTM.com porté par Semmle, a rendu publiques début septembre les détails d’une vulnérabilité affectant toutes les versions d’Apache Struts depuis 2008. Dans un billet de blog, Man Yue Mo explique que la vulnérabilité « est le résultat d’une désérialisation non sécurisée dans Java » et peut conduire à l’exécution de code arbitraire à distance.
La fondation Apache est quant à elle informée depuis la mi-juillet, et propose un correctif qu’il est d’autant urgent de déployer que la vulnérabilité en question apparaît aujourd’hui activement exploitée. Cisco vient d’indiquer se pencher sur quelques dizaines de ses produits utilisant Struts pour vérifier s’ils sont concernés ou non.
Dans son billet de blog, Man Yue Mo attire l’attention sur le fait que « de multiples vulnérabilités similaires sont apparues au cours des dernières années » et que cela concerne « de nombreuses applications Java ». Pour Boris Chen, vice-président de tCell en charge de l’ingénierie, « les exploits liés à sérialisation et résultant en une exécution de code arbitraire à distance constituent l’une des plus importantes menaces touchant les applications Web aujourd’hui. […] Pour Apache Struts, c’est la quatrième vulnérabilité présentant de ce type de conséquences cette année ». En mars, une autre vulnérabilité permettant l’exécution de code à distance a été corrigée alors qu’elle commençait à être activement exploitée.
Et justement, selon Baird, c’est par une vulnérabilité Apache Struts que de cyber-délinquants se sont invités chez Equifax, compromettant les données personnelles de plus de 140 millions d’américains. Fin juin, le chercheur David Hoyt dénonçait d’ailleurs le manque d’application du correctif relatif à la vulnérabilité CVE-2017-5638 du mois de mars, notamment au sein d’entreprises spécialisées dans l’évaluation de la solvabilité.
CVE-2017-5638 and the Credit Reporting Agencies... Burn those Private Keys, Delete the Image, Start Fresh. #NOPATCH #FAIL #Infosec #MITM pic.twitter.com/Iw0VmRJafF
— David Hoyt (@h02332) June 30, 2017
Avec nos confrères de SearchSecurity.com
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
Log4Shell : les autorités américaines mettent les entreprises face à leurs responsabilités
-
Apache log4j : une vulnérabilité qui pourra vite tourner au cauchemar
-
Pourquoi le pare-feu applicatif web est-il une couche de sécurité indispensable
-
Mirai continue de faire des émules, toujours plus diversifiés