Risque(s)

  • Exécution de code arbitraire à distance
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • Branche 2.3 de Struts jusqu'à la version 2.3.34
  • Branche 2.5 de Struts jusqu'à la version 2.5.16
  • Les versions antérieures sont potentiellement vulnérables mais non soutenues par l'éditeur

Résumé

Le 22 août 2018, la fondation Apache a publié un correctif de sécurité pour le framework d'application web Struts. Celui-ci concerne la vulnérabilité CVE-2018-11776 permettant d'exécuter du code à distance sans authentification. L'exploitation ne nécessite pas l'installation de modules complémentaires à Struts.

Le 23 et le 24 août plusieurs codes d'exploitation fonctionnels sont apparus en source ouverte. La société Volexity a peu après constaté des tentatives d'exploitation en masse de ces vulnérabilités. En cas de réussite, un mineur de cryptomonnaie est installée par l'attaquant.

Des indicateurs de compromission sont présents dans la publication de la société Veloxity.

 

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation