ALERTE CERTFR - 2018 - ALE - 010
Publié le 30 août 2018 à 10h58 - Mis à jour le 31 janvier 2025 à 14h34
Objet
Vulnérabilités exploitées dans le framework STRUTS 2
Référence
CERTFR-2018-ALE-010
Risque(s)
- Exécution de code arbitraire à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Branche 2.3 de Struts jusqu'à la version 2.3.34
- Branche 2.5 de Struts jusqu'à la version 2.5.16
- Les versions antérieures sont potentiellement vulnérables mais non soutenues par l'éditeur
Résumé
Le 22 août 2018, la fondation Apache a publié un correctif de sécurité pour le framework d'application web Struts. Celui-ci concerne la vulnérabilité CVE-2018-11776 permettant d'exécuter du code à distance sans authentification. L'exploitation ne nécessite pas l'installation de modules complémentaires à Struts.
Le 23 et le 24 août plusieurs codes d'exploitation fonctionnels sont apparus en source ouverte. La société Volexity a peu après constaté des tentatives d'exploitation en masse de ces vulnérabilités. En cas de réussite, un mineur de cryptomonnaie est installée par l'attaquant.
Des indicateurs de compromission sont présents dans la publication de la société Veloxity.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Apache sur la vulnérabilité : https://cwiki.apache.org/confluence/display/WW/S2-057
- Publication de la société Veloxity relative à l'exploitation de la vulnérbilité CVE-2018-11776 incluant des marqueurs de compromission : https://www.volexity.com/blog/2018/08/27/active-exploitation-of-new-apache-struts-vulnerability-cve-2018-11776-deploys-cryptocurrency-miner/
- Avis de vulnérabilité publié par le CERT-FR : https://cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-405/