Patch maintenant : exploiter les supports d'activité pour le bug dangereux d'Apache Struts 2

Les inquiétudes sont vives concernant une vulnérabilité critique d'exécution de code à distance (RCE) récemment révélée dans Apache Struts 2, que les attaquants ont activement exploitée au cours des derniers jours.

Apache Struts est un framework open source largement utilisé pour créer des applications Java. Les développeurs peuvent l'utiliser pour créer des applications Web modulaires basées sur ce que l'on appelle l'architecture Model-View-Controller (MVC). La Fondation logicielle Apache (ASF) a révélé le bug le 7 décembre et lui a attribué une note de gravité proche du maximum de 9.8 sur 10 sur l'échelle CVSS. La vulnérabilité, suivie comme CVE-2023-50164 a à voir avec la façon dont Struts gère les paramètres dans les téléchargements de fichiers et donne aux attaquants un moyen de prendre le contrôle complet des systèmes concernés.

Un problème de sécurité largement répandu affectant les applications Java

La faille a suscité une inquiétude considérable en raison de sa prévalence, du fait qu'elle est exécutable à distance et du fait que le code d'exploitation de preuve de concept est accessible au public. Depuis la divulgation de la faille la semaine dernière, plusieurs fournisseurs – et entités telles que Serveur Shadow – ont signalé avoir vu des signes d’activités d’exploitation ciblant la faille.

L'ASF elle-même a décrit Apache Struts comme ayant une « énorme base d'utilisateurs », en raison du fait qu'il existe depuis plus de deux décennies. Les experts en sécurité estiment qu'il existe des milliers d'applications dans le monde, y compris celles utilisées par de nombreuses entreprises Fortune 500 et organisations des secteurs gouvernementaux et des infrastructures critiques, qui sont basées sur Apache Struts.  

De nombreuses technologies de fournisseurs intègrent également Apache Struts 2. Cisco, par exemple, est en cours d'investigation tous les produits susceptibles d'être affectés par le bug et prévoit de publier des informations supplémentaires et des mises à jour si nécessaire. Les produits faisant l'objet d'un examen minutieux comprennent les technologies de gestion et d'approvisionnement de réseau de Cisco, les produits de communications vocales et unifiées et sa plateforme de collaboration client.

La vulnérabilité affecte les versions Struts 2.5.0 à 2.5.32 et les versions Struts 6.0.0 à 6.3.0. Le bug est également présent dans les versions 2.0.0 à Struts 2.3.37 de Struts, qui sont désormais en fin de vie.

L'ASF, les fournisseurs de sécurité et les entités telles que Agence américaine de cybersécurité et de sécurité de l'information (CISA) ont recommandé aux organisations utilisant le logiciel de mettre immédiatement à jour Struts version 2.5.33 ou Struts 6.3.0.2 ou supérieure. Aucune atténuation n’est disponible pour la vulnérabilité, selon l’ASF.

Ces dernières années, les chercheurs ont mis au jour de nombreuses failles dans Struts. Le plus important d’entre eux était sans doute CVE-2017-5638 en 2017, qui a touché des milliers d'organisations et permis une violation chez Equifax qui a exposé des données sensibles appartenant à un nombre stupéfiant de 143 millions de consommateurs américains. En fait, ce bug circule toujours : les campagnes utilisant le nouveau NKabuse des logiciels malveillants blockchain, par exemple, ils l’exploitent pour un accès initial.

Un bug Apache Struts 2 dangereux, mais difficile à exploiter

Des chercheurs de Trend Micro qui ont analysé cette semaine la nouvelle vulnérabilité Apache Struts l'a décrit comme une activité dangereuse mais considérablement plus difficile à exploiter à grande échelle que le bug de 2017, qui n'était guère plus qu'un problème d'analyse et d'exploitation.  

« La vulnérabilité CVE-2023-50164 continue d'être largement exploitée par un large éventail d'acteurs malveillants qui abusent de cette vulnérabilité pour mener des activités malveillantes, ce qui en fait un risque de sécurité important pour les organisations du monde entier », ont déclaré les chercheurs de Trend Micro.

La faille permet essentiellement à un adversaire de manipuler les paramètres de téléchargement de fichiers pour permettre la traversée du chemin : « Cela pourrait potentiellement entraîner le téléchargement d'un fichier malveillant, permettant l'exécution de code à distance », ont-ils noté.

Pour exploiter cette faille, un attaquant devrait d'abord rechercher et identifier des sites Web ou des applications Web à l'aide d'une version vulnérable d'Apache Struts, a déclaré Akamai dans un communiqué. rapport résumant son analyse de la menace cette semaine. Ils devraient ensuite envoyer une demande spécialement conçue pour télécharger un fichier sur le site ou l'application Web vulnérable. La requête contiendrait des commandes cachées qui amèneraient le système vulnérable à placer le fichier dans un emplacement ou un répertoire à partir duquel l'attaque pourrait y accéder et déclencherait l'exécution de code malveillant sur le système affecté.

"L'application Web doit mettre en œuvre certaines actions pour permettre le téléchargement de fichiers multipart malveillants », explique Sam Tinklenberg, chercheur principal en sécurité chez Akamai. "Le fait que cela soit activé par défaut dépend de l'implémentation de Struts 2. D'après ce que nous avons vu, il est plus probable que ce ne soit pas quelque chose d'activé par défaut."

Deux variantes d'exploit PoC pour CVE-2023-50164

Akamai a déclaré avoir jusqu'à présent constaté des attaques ciblant CVE-2023-50164 à l'aide du PoC rendu public, ainsi qu'un autre ensemble d'activités d'attaque utilisant ce qui semble être une variante du PoC d'origine.

"Le mécanisme d'exploitation est le même entre les deux" types d'attaques, explique Tinklenberg. "Cependant, les éléments qui diffèrent sont le point final et le paramètre utilisé dans la tentative d'exploitation."

Les conditions requises pour qu'un attaquant réussisse à exploiter la vulnérabilité peuvent varier considérablement selon la mise en œuvre, ajoute Tinklenberg. Celles-ci incluent la nécessité pour une application vulnérable d'avoir la fonction de téléchargement de fichiers activée et de permettre à un utilisateur non authentifié de télécharger des fichiers. Si une application vulnérable n'autorise pas les téléchargements d'utilisateurs non autorisés, l'attaquant devra obtenir une authentification et une autorisation par d'autres moyens. L'attaquant devra également identifier le point final à l'aide de la fonction de téléchargement de fichiers vulnérables, explique-t-il.

Même si cette vulnérabilité dans Apache Struts n'est peut-être pas aussi facilement exploitable à grande échelle que les failles précédentes, sa présence dans un cadre aussi largement adopté soulève certainement d'importants problèmes de sécurité, déclare Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez Qualys.

« Cette vulnérabilité particulière se distingue par sa complexité et les conditions spécifiques requises pour son exploitation, qui rendent les attaques à grande échelle difficiles mais possibles », note-t-il. « Compte tenu de l'intégration étendue d'Apache Struts dans divers systèmes critiques, le potentiel d'attaques ciblées ne peut être sous-estimé. »

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug