Une vulnérabilité critique Apache Struts 2 récemment corrigée, identifiée comme CVE-2024-53677, est activement exploitée à l’aide d’exploits publics de validation de principe pour trouver des périphériques vulnérables.
Apache Struts est un framework open source permettant de créer des applications Web basées sur Java utilisées par diverses organisations, notamment des agences gouvernementales, des plateformes de commerce électronique, des institutions financières et des compagnies aériennes.
Apache a divulgué publiquement la faille Struts CVE-2024-53677 (score CVSS 4.0: 9,5, « critique ») il y a six jours, déclarant qu’il s’agissait d’un bogue dans la logique de téléchargement de fichiers du logiciel, permettant des traversées de chemin et le téléchargement de fichiers malveillants qui pourrait conduire à l’exécution de code à distance.
Cela affecte les entretoises 2.0.0 à 2.3.37 (fin de vie), 2.5.0 à 2.5.33 et 6.0.0 à 6.3.0.2.
« Un attaquant peut manipuler les paramètres de téléchargement de fichiers pour permettre la traversée de chemins, et dans certaines circonstances, cela peut conduire à télécharger un fichier malveillant qui peut être utilisé pour exécuter du code à distance », lit-on dans le bulletin de sécurité Apache.
En bref, CVE-2024-53677 permet aux attaquants de télécharger des fichiers dangereux tels que des shells Web dans des directeurs restreints et de les utiliser pour exécuter à distance des commandes, télécharger d’autres charges utiles et voler des données.
La vulnérabilité est similaire à CVE-2023-50164, et il y a des spéculations selon lesquelles le même problème est réapparu en raison d’un correctif incomplet, un problème qui a déjà tourmenté le projet dans le passé.
Johannes Ullrich, chercheur chez ISC SANS, rapporte avoir vu des tentatives d’exploitation qui semblent utiliser des exploits accessibles au public ou qui en sont au moins fortement inspirées.
« Nous constatons des tentatives d’exploitation actives pour cette vulnérabilité qui correspondent au code d’exploitation PoC. À ce stade, les tentatives d’exploitation tentent d’énumérer les systèmes vulnérables », rapporte Ullrich.
Les attaquants énumèrent les systèmes vulnérables en utilisant l’exploit pour télécharger un « exploit ».fichier » jsp « qui contient une seule ligne de code pour imprimer la chaîne » Apache Struts ».
L’exploitant tente ensuite d’accéder au script pour vérifier que le serveur a été exploité avec succès. Ullrich dit que l’exploitation n’a été détectée qu’à partir d’une seule adresse IP, 169.150.226.162.
Pour atténuer le risque, Apache indique que les utilisateurs doivent passer à Struts 6.4.0 ou version ultérieure et migrer vers le nouveau mécanisme de téléchargement de fichiers.
La simple application du correctif ne suffit pas, car le code qui gère les téléchargements de fichiers dans les applications Struts doit être réécrit pour implémenter le nouveau mécanisme de téléchargement de fichiers d’action.
« Ce changement n’est pas rétrocompatible car vous devez réécrire vos actions pour commencer à utiliser le nouveau mécanisme de téléchargement de fichiers d’action et l’intercepteur associé », prévient Apache.
« Continuez à utiliser l’ancien mécanisme de téléchargement de fichiers pour rester vulnérable à cette attaque. »
Alors que l’exploitation active est en cours, plusieurs agences nationales de cybersécurité, y compris celles du Canada, de l’Australie et de la Belgique, ont émis des alertes publiques exhortant les développeurs de logiciels concernés à prendre des mesures immédiates.
Il y a exactement un an, des pirates informatiques ont exploité des exploits accessibles au public pour attaquer des serveurs Struts vulnérables et exécuter du code à distance.