Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- Branche 2.3 de Struts jusqu'à la version 2.3.34
- Branche 2.5 de Struts jusqu'à la version 2.5.16
- Les versions antérieures sont potentiellement vulnérables mais non soutenues par l'éditeur
Résumé
Le 22 août 2018, la fondation Apache a publié un correctif de sécurité pour le framework d'application web Struts. Celui-ci concerne la vulnérabilité CVE-2018-11776 permettant d'exécuter du code à distance sans authentification. L'exploitation ne nécessite pas l'installation de modules complémentaires à Struts.
Le 23 et le 24 août plusieurs codes d'exploitation fonctionnels sont apparus en source ouverte. La société Volexity a peu après constaté des tentatives d'exploitation en masse de ces vulnérabilités. En cas de réussite, un mineur de cryptomonnaie est installée par l'attaquant.
Des indicateurs de compromission sont présents dans la publication de la société Veloxity.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de vulnérabilité publié par le CERT-FR https://cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-405/
- Bulletin de sécurité de la fondation Apache sur la vulnérabilité https://cwiki.apache.org/confluence/display/WW/S2-057
- Publication de la société Veloxity relative à l'exploitation de la vulnérabilité CVE-2018-11776 incluant des marqueurs de compromission https://www.volexity.com/blog/2018/08/27/active-exploitation-of-new-apache-struts-vulnerability-cve-2018-11776-deploys-cryptocurrency-miner/
- Référence CVE CVE-2018-11776 https://www.cve.org/CVERecord?id=CVE-2018-11776