Une alerte a de nouveau confirmé la présence d’une vulnérabilité élevée dans le framework de développement open source Apache Struts 2. Un mois après la mise à disposition d’un correctif, des attaquants sont encore parvenus à exploiter la récente faille pourtant patchée, trouvée dans ce framework et permettant d'exécuter à distance du code malveillant sur des serveurs web. En réaction le SANS Internet Storm Center a publié un bulletin jeudi dernier, affirmant que l’exploitation de la faille CVE-2017-5638 avait permis à des attaquants de compromettre des serveurs sous Windows. Cette vulnérabilité permet à un attaquant d'exécuter des commandes sur le serveur via le contenu téléchargé sur le composant Jakarta Multipart parser, déployé dans certaines installations Struts. Elle avait été corrigée le 6 mars dans les versions 2.3.32 et 2.5.10.1 de Struts. Les attaquants ont commencé à exploiter cette faille presque immédiatement, laissant très peu de temps aux administrateurs de serveurs pour qu’ils puissent déployer la mise à jour.
Alors que les précédentes attaques avaient permis d’installer des portes dérobées (backdoors) ainsi que des bots Unix sur des serveurs web, celles qui ont été découvertes par les chercheurs du SANS ont donné lieu au déploiement d'un malware potentiellement beaucoup plus dommageable, à savoir le ransomware Cerber. Aparu il y a plus d'un an, celui-ci a donc eu tout le temps de mûrir. Bien développé, son implémentation de chiffrement ne comporte pas de défauts qui pourraient permettre la récupération gratuite de fichiers. En attendant, les administrateurs de serveurs qui n'ont pas procédé aux mises à jour de Struts sont priés d’y remédier dès que possible. En outre, étant donné que cette vulnérabilité permet l'exécution de la commande des comptes privilèges, il est souhaitable d'exécuter le processus à partir de comptes restreints.
Commentaire