Apache Struts : une mise à jour à appliquer d’urgence

La fondation Apache a rendu publique, la semaine dernière, une grave vulnérabilité affectant les versions 2.3 à 2.3.24, et 2.5 à 2.5.16 de son framework Struts. Référencée CVE-2018-11776, elle est susceptible de permettre l’exécution à distance de code arbitraire.

Dans un billet de blog, Palo Alto Networks souligne que l’exploitation de la vulnérabilité nécessite une configuration spécifique – pour l’heure. Le chercheur qui l’a découverte, Man Yue Mo, de l’équipe de recherche en sécurité de Semmle, relève pour sa part que « la vulnérabilité est liée au langage OGNL de Struts, bien connu des pirates qui l’ont déjà exploité par le passé ». Quelle que soit la configuration, il est donc recommandé de déployer au plus vite les mises à jour proposées par la fondation Apache.

Et cela à plus forte raison que plusieurs démonstrateurs d’exploitation de la vulnérabilité sont désormais publiquement accessibles sur Internet. Et cela vaut également pour un script Python automatisant l’exploitation de deux autres vulnérabilités critiques de Struts, en plus de CVE-2018-11776. Parmi elles, celle dont l’exploitation a conduit à la vaste brèche de données personnelles qui a affecté Equifax l’an dernier.

Surtout, l’exploitation de la toute dernière vulnérabilité de Struts a commencé. GreyNoise indiquait ainsi récemment avoir observé des hôtes « testant de manière opportuniste des sections d’Internet » à la recherche d’instances à compromettre.

Veloxity a fait la même observation, à partir d’adresses IP en France et en Russie. Mais il a vu plus : l’exploitation de CVE-2018-11776 pour le déploiement de maliciels mineurs de crypto-deniers. Un botnet aurait été mis à contribution à cette fin.