En septembre 2017, Équifax a révélé qu’un défaut de correction d’un de ses serveurs Internet contre une faille logicielle omniprésente – dans un composant Web connu sous le nom de Apache Struts – a conduit à une violation qui a exposé les données personnelles de 147 millions d’Américains. Désormais, les experts en sécurité avertissent que des plans montrant aux pirates malveillants comment exploiter un bogue Apache Struts récemment découvert sont disponibles en ligne, laissant d’innombrables organisations pressées d’appliquer de nouvelles mises à jour et de combler la faille de sécurité avant que les attaquants ne puissent l’utiliser pour se faufiler à l’intérieur.
Le 22 août, le Fondation du logiciel Apache mises à jour logicielles publiées pour corriger une vulnérabilité critique dans Apache Struts, une plate-forme d’application Web utilisée par environ 65 % des entreprises du Fortune 100. Malheureusement, le code informatique pouvant être utilisé pour exploiter le bogue a depuis été mis en ligne, ce qui signifie que les méchants disposent désormais d’instructions précises sur la manière de pénétrer dans des serveurs vulnérables et non corrigés.
Les attaquants peuvent exploiter un site Web exécutant l’installation vulnérable d’Apache Struts en utilisant rien de plus qu’un navigateur Web. Le méchant doit simplement envoyer la bonne requête au site et le serveur Web exécutera n’importe quelle commande choisie par l’attaquant. À ce stade, l’intrus pourrait prendre un certain nombre d’actions, telles que l’ajout ou la suppression de fichiers ou la copie de bases de données internes.
Une alerte sur la mise à jour de sécurité d’Apache a été publiée mercredi par Semblela société de logiciels de San Francisco dont les chercheurs ont découvert le bogue.
« L’utilisation généralisée de Struts par les grandes entreprises, ainsi que l’impact potentiel avéré de ce type de vulnérabilité, illustrent la menace que représente cette vulnérabilité », prévient l’alerte.
« Les vulnérabilités critiques d’exécution de code à distance comme celle qui a affecté Equifax et celle que nous avons annoncée aujourd’hui sont incroyablement dangereuses pour plusieurs raisons : Struts est utilisé pour les sites Web accessibles au public, les systèmes vulnérables sont facilement identifiés et la faille est facile à exploiter. », a écrit le co-fondateur de Semmle Pavel Avgustinov. « Un pirate informatique peut trouver son chemin en quelques minutes et exfiltrer des données ou organiser de nouvelles attaques à partir du système compromis. Il est extrêmement important de mettre à jour immédiatement les systèmes concernés ; attendre, c’est prendre un risque irresponsable.
La chronologie de la violation d’Equifax en 2017 met en évidence la rapidité avec laquelle les attaquants peuvent tirer parti des failles de Struts. Le 7 mars 2017, Apache a publié un correctif pour une faille Struts tout aussi dangereuse, et dans les 24 heures suivant cette mise à jour, les experts en sécurité ont commencé à suivre les signes indiquant que les attaquants exploitaient des serveurs vulnérables.
Trois jours seulement après la publication du correctif, les attaquants ont découvert que les serveurs d’Equifax étaient vulnérables à la faille Apache Struts et ont utilisé cette vulnérabilité comme point d’entrée initial dans le réseau du bureau de crédit.
Une diapositive de « Nous sommes tous Equifax », une conférence RSA donnée en avril 2018 par Derek Weeks.
La vulnérabilité affecte toutes les versions prises en charge de Struts 2. Utilisateurs de Struts 2.3 devrait passer à la version 2.3.35 ; utilisateurs de Struts 2.5 devrait passer à 2.5.17.
Plus de détails techniques sur ce bug de son découvreur, Homme Yue Mosont ici. L’avis de l’Apache Software Foundation est ici.