Le contexte
Le 22 août dernier, la fondation Apache a publié une mise à jour de sécurité capitale relative à la vulnérabilité CVE-2018-1176 d’Apache Struts (versions 2.3 à 2.3.34 et 2.5 à 2.5.16). La fondation a exhorté tous les utilisateurs concernés à appliquer cette mise à jour dans les plus brefs délais.
Cet article a pour objectif d’aider les entreprises à évaluer leur degré d’exposition à cette vulnérabilité. Les clients Palo Alto Networks n’ayant pas encore appliqué la mise à jour y trouveront également des conseils sur les mesures de protection disponibles pour réduire le risque. Quant aux clients ayant déployé les dernières signatures (publiées le 24 août 2018), ils sont d’ores et déjà protégés.
La vulnérabilité
Selon la fondation Apache et le chercheur en sécurité Man Yue Mo, la faille CVE-2018-1176 permet d’exécuter du code à distance sur un serveur équipé d’une version vulnérable d’Apache Struts. L’attaque s’opère par l’envoi d’une URL spécifique à ce système. Par ailleurs, l’exploitation de la vulnérabilité ne requiert en général aucune authentification.
Pour aboutir, une attaque exécute le code dans le contexte de sécurité utilisé par Struts, ce qui, dans certains cas, provoque la compromission de tout le système.
Notez cependant que cette faille n’est pas exploitable dans des configurations par défaut. En effet, pour être une cible potentielle, un système doit réunir deux conditions.
Premièrement, l’indicateur alwaysSelectFullNamespace doit comporter la valeur « true ». (Remarque : par défaut, cette valeur est définie sur « true » pour les applications qui utilisent le plugin Struts Convention).
Deuxièmement, le fichier de configuration Struts doit contenir des « actions » qui ne précisent aucun espace de noms ou un espace de noms à valeur générique (wildcard). Cette condition s’applique aux actions et aux espaces de noms spécifiés dans le fichier de configuration de Struts. Remarque : cette condition s’applique également aux actions et aux espaces de noms spécifiés dans le code Java des applications qui exploitent le plugin Struts Convention.
Une application Struts qui ne réunit pas ces deux conditions reste vulnérable, mais elle n’est (à ce jour) pas exploitable via la vulnérabilité CVE-2018-11776.
Notez cependant que la présence du plugin Struts Convention augmente le risque d’exploitabilité.
Le champ des menaces
La vulnérabilité CVE-2018-11776 a été découverte le 22 août dernier, le jour même où des mises à jour de sécurité ont été publiées pour y remédier. Des informations détaillées sur la vulnérabilité, les méthodes d'exploitation ainsi qu’un code de preuve de concept (PoC) sont disponibles. Comme souligné plus haut, cette preuve de concept ne s’applique qu’aux systèmes vulnérables qui remplissent les deux conditions d’exploitabilité.
Une autre vulnérabilité de Struts a également servi de vecteur à de nombreuses attaques l’an dernier, trois jours seulement après son annonce et la publication des mises à jour de sécurité associées.
Aujourd’hui, les activités cybercriminelles semblent au point mort dans ce domaine. Et la double condition nécessaire à l’exploitation de la vulnérabilité y joue certainement un rôle.
Cependant, compte tenu de la disponibilité du code PoC, on peut s’attendre à quelques « tirs d’essai », voire à une exploitation active de cette vulnérabilité dans un futur proche.
Avant d’appliquer les correctifs, les entreprises doivent évaluer leur risque en se posant quatre questions :
De nouvelles attaques ou PoC qui annuleraient les deux conditions d’exploitabilité actuelles ont-elles été développées ?
Nos conseils aux clients Palo Alto Networks
Toutes les entreprises qui utilisent une version vulnérable d’Apache Struts doivent appliquer les mises à jour de sécurité le plus tôt possible.
Chaque entreprise doit planifier et déployer ces mises à jour en fonction de ses propres politiques de sécurité, des résultats de son évaluation du risque et des informations actuellement disponibles.
Les clients Palo Alto Networks ayant déployé les signatures de la version 8057 publiée le 24 août dernier, comprenant la vulnérabilité Apache Struts 2 d’exécution de code à distance (ID 33948), sont protégés des exploits liés à la vulnérabilité CVE-2018-11776.
Pour renforcer leur sécurité, nos clients peuvent (et devraient) déployer immédiatement les dernières signatures disponibles, en plus de la mise à jour de sécurité recommandée ci-dessus. Nous les encourageons également à intégrer ce processus dans leurs stratégies de sécurité, lors du déploiement de mises à jour de sécurité et de l’évaluation du risque associé aux vulnérabilités et menaces en présence.
Comme toujours, nous surveillons la situation de près et vous fournirons des informations complémentaires dès qu’elles seront disponibles.
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.