CVE-2024-53677 – Des pirates tentent d’exploiter une nouvelle faille critique présente dans Apache Struts !
Des pirates informatiques tentent d'exploiter une nouvelle faille de sécurité critique découverte dans Apache Struts ! Grâce à cette vulnérabilité, ils peuvent exécuter du code à distance sur le serveur vulnérable. Faisons le point.
Commençons par évoquer Apache Struts en lui-même. Il s'agit d'un framework libre et open source à destination des applications Web basée sur Java EE. C'est un framework populaire utilisé par de nombreuses applications, notamment en entreprise pour certains portails web.
Ce n'est pas la première fois qu'il est affecté par des vulnérabilités critiques. Cette fois-ci, la faille de sécurité est critique et elle est déjà exploitée par des cybercriminels. Associée à la référence CVE-2024-53677, cette vulnérabilité est associée à un score CVSS de 9.5 sur 10. Cette situation n'est pas sans rappeler la faille de sécurité CVE-2023-50164 corrigée en décembre 2023, puisqu'elle était également exploitée par les pirates peu de temps après avoir été divulguée.
Cette nouvelle vulnérabilité serait liée au correctif de la CVE-2023-50164, car il ne serait pas assez efficace, d'après Johannes Ullrich du SANS Technology Institute. D'après ce chercheur, pour le moment, les attaquants cherchent à énumérer les systèmes vulnérables : "À ce stade, les tentatives d'exploitation visent à dénombrer les systèmes vulnérables". Il est évident que les pirates ne vont pas s'arrêter là. Un code d'exploitation PoC a d'ailleurs été publié sur GitHub.
"Un attaquant peut manipuler les paramètres de téléchargement de fichiers pour permettre une attaque de type path trasversal et, dans certaines circonstances, cela peut conduire au téléchargement d'un fichier malveillant qui peut être utilisé pour effectuer une exécution de code à distance.", explique le bulletin de sécurité publié sur le site d'Apache Struts. Ce fichier malveillant peut ouvrir la porte à d'autres actions, telles que l'exécution de code à distance ou le vol de données.
Quelles sont les versions affectées ? Comment se protéger ?
La vulnérabilité CVE-2024-53677 affecte les versions suivantes, et elle a été corrigée dans Apache Struts 6.4.0 (et supérieur).
- Struts 2.0.0 jusqu'à Struts 2.3.37 (fin de vie)
- Struts 2.5.0 jusqu'à Struts 2.5.33 (fin de vie)
- Struts 6.0.0 jusqu'à Struts 6.3.0.2
Vous l'aurez compris, si vous utilisez encore Struts 2.0.0 ou 2.5.0, vous n'aurez pas le droit à un correctif. En plus d'installer ce correctif, les développeurs sont invités à mettre à jour leur application pour utiliser le mécanisme de chargement de fichiers de nouvelle génération.
N'attendez pas : patchez.
