La faille dans Apache Struts 2 a affect� plus de 29 millions de sites
La faille dans Apache Struts 2 a affect� plus de 29 millions de sites
parmi lesquels des sites gouvernementaux fran�ais
Au d�but du mois de mars, Apache a fait un communiqu� sur une faille dans un composant d�Apache Struts 2, son infrastructure servant au d�veloppement d�applications web en Java, qui �tait d�j� exploit�e et permettait une ex�cution de code � distance. Pour �tre plus pr�cis, la faille �tait identifi�e au niveau du parseur Jakarta Multipart : si un cybercriminel parvenait � lui faire lire des donn�es sp�cialement con�ues et comportant une certaine valeur Content-Type, une exception �tait alors g�n�r�e et pouvait �tre utilis�e pour afficher un message d�erreur � l�utilisateur. D�s lors, le cybercriminel �tait en mesure de lancer une attaque � distance avec des valeurs malveillantes du Content-Type, comme l�a expliqu� Apache.
Certaines des attaques observ�es par Talos, la branche de Cisco d�di�e � la cybers�curit�, �taient b�nignes. Par exemple, un attaquant a ex�cut� une simple commande 'whoami', qui pourrait �tre lanc�e pour voir quel type d�utilisateur a lanc� le service, id�alement un utilisateur racine. � Une fois que l�utilisateur a �t� identifi�, l'attaquant pourrait retourner avec un ensemble plus sophistiqu� de commandes. Talos a �galement observ� d'autres commandes en cours d'ex�cution, parmi lesquelles un simple �ifconfig� pour rassembler les configurations r�seau sur le serveur �.
D�autres attaques �taient agressives, comme celle qui a provoqu� l�arr�t du pare-feu Linux et SUSE Linux puis le t�l�chargement d�un logiciel malveillant. Certaines ont m�me tent� d��tre persistantes en copiant leurs fichiers dans un r�pertoire b�nin et en s'assurant que l'ex�cutable se lance et que le service de pare-feu soit d�sactiv� lors du d�marrage du syst�me.
Pour ne pas arranger les choses, un kit d�exploit d�velopp� en Python pour exploiter la faille a �t� diffus� sur le Web.
Apache a publi� un correctif qu�il a rendu disponible dans une mise � jour.
Dans une alerte, le Centre gouvernemental de veille, d�alerte et de r�ponse aux attaques informatiques (CERT-FR) a d�ailleurs vivement encourag� � effectuer cette mise � jour : � Une vuln�rabilit� dans Struts permet une ex�cution de code arbitraire � distance. Le 6 mars 2017, Apache a publi� le bulletin de s�curit� S2-045 (cf. section Documentation) afin de fournir un correctif de s�curit�. Depuis, cette vuln�rabilit� est activement exploit�e. Au vu de l'impact et du faible niveau de technicit� n�cessaire � l'exploitation de cette vuln�rabilit�, le CERT-FR recommande donc le d�ploiement du correctif dans les plus brefs d�lais. Si les applications vuln�rables contiennent des donn�es sensibles, il est �galement fortement conseill� de les d�sactiver tant que la mise � jour n'a pas �t� appliqu�e �.
Il faut dire que la vuln�rabilit�, r�f�renc�e comme �tant CVE-2017-5638, affectait plus de 29 millions de sites dont plus de 250 en .fr. Parmi les espaces importants qui ont �t� touch�s figuraient des assurances et des minist�res comme l�espace � e-services �, d�di� aux professionnels de sant� lib�raux, l�espace Pro Douane, pour les d�clarations DES, ou encore le portail gouvernemental d�di� aux r�seaux et canalisation [Ineris] ou encore de l�espace D�claration de la CNIL. Notons �galement que le site internet-signalement.gouv.fr a �t� ferm� le temps de la correction suite � une attaque.
Il est donc urgent pour les webmasters qui n'ont pas encore appliqu� le correctif de le faire.
faire une mise � jour vers Apache Struts 2.3.32 ou Struts 2.5.10.1
Source : CERT-FR, Apache, Talos
Voir aussi :
R�pondre avec citation
Partager