Date de la divulgation (source) : 11 décembre 2024
Date de déclaration d'exploitation active (source) : 17 décembre 2024
CVE-2024-53677 permet aux attaquants d'exécuter du code arbitraire sur les serveurs concernés utilisant le framework web Apache Struts. Cette faille provient d'une mauvaise validation des entrées, ce qui permet à des acteurs malveillants d'exécuter du code à distance et de prendre potentiellement le contrôle total des systèmes compromis.
A exploit public pour cette CVE est désormais disponible, et de nombreux hôtes malveillants ont été observés en train de la cibler dans la base de données GreyNoise au cours des derniers jours. Il est conseillé aux organisations utilisant Apache Struts d'appliquer de toute urgence les derniers correctifs de sécurité et d'améliorer leurs mesures de surveillance afin de se protéger contre les tentatives d'exploitation en cours.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-53677 - CVSS 9.5 (critique) - attribué par Apache Software Foundation |
| Description de la vulnérabilité |
Un attaquant peut manipuler les paramètres de téléchargement de fichiers pour permettre la traversée de chemins et, dans certaines circonstances, cela peut conduire au téléchargement d'un fichier malveillant qui peut être utilisé pour effectuer une exécution de code à distance. |
| Date de la divulgation |
11 décembre 2024 |
| Actifs touchés |
Mécanisme de téléchargement de fichiers Apache Struts |
| Versions de logiciels vulnérables |
- Struts 2.0.0 à Struts 2.3.37 (EOL)
- Struts 2.5.0 à Struts 2.5.33 (EOL)
- Struts 6.0.0 à Struts 6.3.0.2
|
| PoC disponible ? |
Un programme d'exploitation (PoC) est disponible publiquement sur GitHub. |
| Statut d'exploitation |
Un article de Bleeping Computer fait état de tentatives d'exploitation qui semblent utiliser des exploits accessibles au public. Cet article signale en outre que l'exploitation n'a été observée qu'à partir d'une seule adresse IP, 169.150.226[.]162. En outre, plusieurs hôtes ont été observés en train d'exploiter cette vulnérabilité dans la base de données de GreyNoise. |
| Statut du patch |
Apache a conseillé de passer à Struts 6.5.0 ou à une version supérieure et d'utiliser Action File Upload Interceptor. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 13,539 applications web exposées utilisant le cadre Apache Struts. Une grande partie d'entre elles (69%) est géolocalisée aux États-Unis. Il convient de noter que toutes les instances observées ne sont pas vulnérables, car nous ne disposons pas de versions spécifiques.
Apache Struts est difficile à identifier parce qu'il est profondément intégré aux applications web et qu'il n'a pas de signatures distinctives, ce qui le rend difficile à détecter à l'aide de méthodes d'identification standard.
Carte des instances exposées exécutant Apache Struts :
Censys Requête de recherche :
services.software: (vendor="Apache" and product="Struts") and not labels: {honeypot, tarpit}
Censys Requête ASM :
host.services.software.vendor="Apache" and host.services.software.product="Struts" and not host.labels: {honeypot, tarpit}
Notez que cette empreinte a été récemment déployée et que les résultats peuvent prendre 24 heures pour se propager complètement.
La requête suivante peut être utilisée comme un indicateur fort de l'existence d'Apache Struts. Toutefois, son niveau de confiance est inférieur à celui de la requête ci-dessus et elle nécessite des recherches supplémentaires sur l'hôte pour confirmer l'utilisation de Struts :
services: ("index.action" and http.response.headers:(key="Set-Cookie" and value.headers:"JSESSIONID") and http.response.status_code=200)
Références
