Les pirates tentent d’exploiter une vulnérabilité critique récemment corrigée (CVE-2023-50164) dans Apache Struts qui conduit à l’exécution de code à distance, dans des attaques qui reposent sur un code d’exploitation de validation de principe accessible au public.

Il semble que les acteurs de la menace viennent de commencer, selon la plate-forme d’analyse Shadowserver, dont les chercheurs ont observé un petit nombre d’adresses IP engagées dans des tentatives d’exploitation.

Apache Struts est un framework d’applications Web open source conçu pour rationaliser le développement d’applications Web Java EE, offrant une interface basée sur des formulaires et des capacités d’intégration étendues.

Le produit est largement utilisé dans diverses industries des secteurs privé et public, y compris les organisations gouvernementales, pour son efficacité dans la création d’applications Web évolutives, fiables et facilement maintenables.

Le 7 décembre, Apache a publié les versions 6.3.0.2 et 2.5.33 de Struts pour résoudre une vulnérabilité de gravité critique actuellement identifiée comme CVE-2023-50164.

Le problème de sécurité est une faille de traversée de chemin qui peut être exploitée si certaines conditions sont remplies. Il peut permettre à un attaquant de télécharger des fichiers malveillants et d’exécuter du code à distance (RCE) sur le serveur cible. Un acteur malveillant exploitant une telle vulnérabilité pourrait modifier des fichiers sensibles, voler des données, perturber des services critiques ou se déplacer latéralement sur le réseau.

Cela pourrait entraîner un accès non autorisé aux serveurs Web, une manipulation ou un vol de données sensibles, une perturbation des services critiques et un mouvement latéral dans les réseaux violés.

La vulnérabilité RCE affecte les versions de Struts 2.0.0 à 2.3.37 (fin de vie), Struts 2.5.0 à 2.5.32 et Struts 6.0.0 à 6.3.0.

Le 10 décembre, un chercheur en sécurité a publié un article technique pour CVE-2023-50164, expliquant comment un acteur menaçant pourrait contaminer les paramètres de téléchargement de fichiers lors d’attaques. Un deuxième article, qui inclut le code d’exploitation de la faille, a été publié hier.

Cisco peut-être touché
Dans un avis de sécurité publié hier, Cisco a déclaré qu’il enquêtait sur CVE-2023-50164 pour déterminer lequel de ses produits avec des entretoises Apache pourrait être affecté et dans quelle mesure.

L’ensemble de produits Cisco en cours d’analyse comprend la plateforme de collaboration client, Identity Services Engine (SE), Nexus Dashboard Fabric Controller( NDFC), Unified Communications Manager (Unified CM), Unified Contact Center Enterprise (Unified CCE) et Prime Infrastructure.

Une liste complète des produits potentiellement concernés peut être disponible dans le bulletin de sécurité de Cisco, qui devrait être mis à jour avec de nouvelles informations.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *