Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée (2 au 8 septembre). Nous vous partageons la publication d’un code d’exploitation affectant Apache Struts. Il permet à un attaquant de prendre le contrôle d’un système vulnérable à distance.
Description :
Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2017-3268, a été publiée.
La vulnérabilité en question, référencée CVE-2017-9805, affecte Apache Struts 2. L’exploitation de cette faille permet de prendre le contrôle du système.
La preuve de concept se matérialise sous la forme d’un code en Ruby intégré au framework Metasploit. Ce code permet d’envoyer une requête XML spécialement conçue et d’obtenir un accès au système permettant l’exécution de commandes arbitraires.
Code d’exploitation
Le code d’exploitation est disponible à l’adresse suivante :
https://github.com/rapid7/metasploit-framework/pull/8924/commits/dae6edabd41e4ed18d2251ac3a70b501b53d24e4
Versions vulnérables
Apache Struts 2.5.12
Apache Struts 2.5
Apache Struts 2.3.7
Apache Struts 2.3.33
Recommandation
Le CERT-XMCO recommande l’application de la dernière version d’Apache Struts 2 (2.5.13).
Référence(s)
https://github.com/rapid7/metasploit-framework/pull/8924/commits/dae6edabd41e4ed18d2251ac3a70b501b53d24e4
https://leportail.xmco.fr/watch/advisory/CXA-2017-3268
http://struts.apache.org/docs/s2-052.html