Des chercheurs annoncent qu’une vulnérabilité critique dans Apache Struts 2 est actuellement exploitée par des attaquants, seulement quelques jours après qu’elle ait été divulguée et corrigée.
Cette vulnérabilité, identifiée sous le numéro CVE-2024-53677, concerne une faille dans la logique de téléchargement de fichiers, comme l’indique un communiqué d’Apache. Avec un score CVSS de 9,5 sur 10, elle est jugée très risquée.
Un pirate peut manipuler les paramètres de téléchargement de fichiers pour permettre un parcours de chemin non autorisé. Apache recommande aux utilisateurs de passer à Struts 6.4.0 ou à une version supérieure et d’utiliser l’Action File Upload Interceptor. Les chercheurs en sécurité alertent que cette vulnérabilité permettrait à un attaquant de réaliser des actions malveillantes.
« En raison d’une vulnérabilité dans la fonction de téléchargement de Struts 2, des attaquants peuvent transférer des fichiers dans des zones restreintes sur le serveur, ce qui pourrait ensuite être exploité pour exécuter du code », a déclaré Johannes Ullrich, doyen de la recherche à l’Institut de technologie SANS, dans un courriel.
Dans un scénario typique, les hackers téléchargent un shell web, leur donnant une interface simple pour exécuter des commandes sur le serveur et initier davantage de compromissions, selon Ullrich.
Données de Maven Central montrent que les composants vulnérables ont été téléchargés près de 40 000 fois depuis la publication du correctif le 11 décembre, a rapporté Sonatype dans un article de blog récent.
Les versions vulnérables représentent environ 90 % des téléchargements de Struts 2 au cours de la semaine passée. Selon les responsables de Sonatype, cela montre que les enjeux sont très élevés et que le temps presse.
Les chercheurs mettent également en garde que cette vulnérabilité s’appuie sur des problèmes liés à une faille précédente, nommée CVE-2023-50164. Cette connexion suscite des inquiétudes parmi certains chercheurs sur la possibilité d’un correctif incomplet.
Brian Fox, cofondateur et directeur technique chez Sonatype, a précisé qu’une mise à niveau ne résoudrait pas complètement la vulnérabilité, et que les modifications de code potentielles nécessaires pour utiliser un autre intercepteur de téléchargement de fichiers compliqueraient considérablement les étapes de mitigation. « Cela augmentera considérablement l’effort requis pour remédier à la situation, ce qui prolongera significativement la durée d’exposition », a-t-il déclaré mercredi dans un message sur LinkedIn.
Stephen Fewer, chercheur principal en sécurité chez Rapid7, a mis en question l’ampleur et la véracité de l’exploitation active, précisant que des préoccupations émanent d’observations liées à un exploit public de preuve de concept ciblant un système honeypot. « Il n’est pas clair si une exploitation réussie se produit contre des systèmes cibles viables », a-t-il indiqué vendredi par courriel.
L’exploit public de preuve de concept aurait essentiellement besoin d’être modifié pour réussir l’exploitation de toute application web ciblée, a ajouté Fewer.
Bon à savoir
- Apache Struts est un framework open-source utilisé pour développer des applications web en Java.
- Le vers CVE-2024-53677 pourrait permettre des actes malveillants allant jusqu’à la prise de contrôle d’un serveur.
- Les mises à jour régulières du logiciel sont essentielles pour prévenir l’exploitation de telles vulnérabilités.
En conclusion, cette situation nous rappelle l’importance cruciale de la mise à jour des systèmes et des logiciels face à des menaces en constante évolution. Alors que les vulnérabilités sont souvent inévitables, la vigilance et la proactivité peuvent faire toute la différence dans la protection des données et des infrastructures. Quelles mesures proactives votre organisation envisage-t-elle pour atténuer de tels risques?