Les acteurs malveillants tentent d’exploiter une faille de sécurité récemment révélée affectant Apache Struts, qui pourrait ouvrir la voie à l’exécution de code à distance.
Le problème, suivi comme CVE-2024-53677présente un score CVSS de 9,5 sur 10,0, indiquant une gravité critique. La vulnérabilité partage des similitudes avec un autre bug critique résolu par les responsables du projet en décembre 2023 (CVE-2023-50164score CVSS : 9,8), qui a également été activement exploitée peu de temps après sa divulgation publique.
“Un attaquant peut manipuler les paramètres de téléchargement de fichiers pour permettre la traversée des chemins et, dans certaines circonstances, cela peut conduire au téléchargement d’un fichier malveillant qui peut être utilisé pour effectuer l’exécution de code à distance”, selon le Avis Apache.
En d’autres termes, une exploitation réussie de la faille pourrait permettre à un acteur malveillant de télécharger des charges utiles arbitraires sur des instances sensibles, qui pourraient ensuite être exploitées pour exécuter des commandes, exfiltrer des données ou télécharger des charges utiles supplémentaires pour une exploitation ultérieure.
La vulnérabilité affecte les versions suivantes et a été corrigée dans Struts 6.4.0 ou version ultérieure :
- Struts 2.0.0 – Struts 2.3.37 (Fin de vie),
- Struts 2.5.0 – Struts 2.5.33, et
- Entretoises 6.0.0 – Entretoises 6.3.0.2
Le Dr Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a déclaré qu’un correctif incomplet pour CVE-2023-50164 pourrait avoir conduit à ce nouveau problème, ajoutant des tentatives d’exploitation correspondant au problème. rendu public des preuves de concept (PoC) ont été détectées dans la nature.
“À ce stade, les tentatives d’exploitation tentent d’énumérer les systèmes vulnérables”, déclare Ullrich. noté. “Ensuite, l’attaquant tente de trouver le script téléchargé. Jusqu’à présent, les analyses proviennent uniquement de 169.150.226.[.]162.”
Pour atténuer le risque, il est recommandé aux utilisateurs de mettre à niveau vers la dernière version dès que possible et de réécrire leur code pour utiliser la nouvelle version. Mécanisme de téléchargement de fichiers d’action et l’intercepteur associé.
“Apache Struts se trouve au cœur de nombreuses piles informatiques d’entreprise, pilotant des portails publics, des applications de productivité internes et des flux de travail critiques”, explique Saeed Abbasi, chef de produit de l’unité de recherche sur les menaces chez Qualys. dit. “Sa popularité dans des contextes à enjeux élevés signifie qu’une vulnérabilité comme CVE-2024-53677 pourrait avoir des implications considérables.”