La faille découverte et communiquée au début du mois de mars par Apache a atteint plusieurs sites gouvernementaux français.
La faille concerne un composant de Apache Struts 2 servant au développement d’applications wen dans le langage Java. Précisément, c’est l’analyseur Jakarta Multipart qui est incriminé. Il permet via l’utilisation d’un Content-Type de générer une exception, puis de lancer une attaque à distance sur le site ciblé.
La faille est d’ores et déjà exploitée. Talos, la branche dédiée à la sécurité de la firme Cisco les observe en continu. Les conséquences sont diverses : parfois, les commandes lancées sur les serveurs Apache se limitent aujourd’hui à la récupération d’informations techniques, mais d’autres étaient plus agressives, coupant le pare-feu avant de télécharger un logiciel malveillant. Plus inquiétant, un kit d’exploitation de la faille développé en Python est déjà disponible sur l’Internet.
La vulnérabilité, référencée comme étant CVE-2017-5638, affecte plus de 29 millions de sites dont plus de 250 en .fr. Parmi ceux-ci, des assurances et des ministères, l’espace « e-services », l’espace Pro Douane, le portail gouvernemental dédié aux réseaux et canalisation et la CNIL sont touchés.
Un billet d’alerte a été publié par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques. Il encourage tous les administrateurs a adopté le correctif rendu disponible dans une mise à jour fournie par Apache :
« Une vulnérabilité dans Struts permet une exécution de code arbitraire à distance. Le 6 mars 2017, Apache a publié le bulletin de sécurité S2-045 (cf. section Documentation) afin de fournir un correctif de sécurité. Depuis, cette vulnérabilité est activement exploitée. Au vu de l'impact et du faible niveau de technicité nécessaire à l'exploitation de cette vulnérabilité, le CERT-FR recommande donc le déploiement du correctif dans les plus brefs délais. Si les applications vulnérables contiennent des données sensibles, il est également fortement conseillé de les désactiver tant que la mise à jour n'a pas été appliquée ». Il est donc urgent pour les webmasters qui n'ont pas encore appliqué le correctif de le faire.
Sources :cert.ssi.gouv.fr ; struts.apache.org