Les chercheurs ont découvert du code de preuve de concept (PoC) librement disponible pouvant être utilisé pour exploiter une faille de sécurité critique dans le cadre de l'application Web Apache Struts 2, peu après que la vulnérabilité ait été divulguée et que le correctif a été publié.

Le PoC, « y compris un script Python qui permet une exploitation facile », a été déniché par la société de renseignements sur les menaces Recorded Future sur la plateforme de développement logiciel GitHub. L'entreprise a également déclaré qu'elle a repéré des discussions sur des forums clandestins tournant autour de l'exploitation de la faille.

La découverte a été faite seulement deux jours après que l'Apache Software Foundation eut révélé la vulnérabilité critique de l'exécution de code à distance (RCE) dans le noyau d'Apache Struts 2 et, en même temps, publié une mise à jour du logiciel pour remédier à cette vulnérabilité. La faille dans ce logiciel libre a été découverte en avril par la société d'analyse Semmle, qui l'a ensuite signalé à la Fondation.

De l’avis de la Fondation, le bogue, identifié comme étant CVE-2018-11776, affecte toutes les versions supportées d'Apache Struts 2 (version 2.3 à 2.3.34 et version 2.5 à 2.5.16), ainsi que les versions non supportées.

Les utilisateurs sont conviés à appliquer le correctif dès que possible et à passer aux version 2.3.35 et 2.5.17, respectivement. « Les divulgations de vulnérabilités critiques antérieures similaires ont donné lieu à la publication d'exploits en moins d'une journée, mettant en danger l'infrastructure critique et les données des clients », souligne Semmle.

« Semmle ne confirmera pas si le PoC rapporté qui a été publié est un PoC de travail. Si c'est le cas, les attaquants ont maintenant un moyen plus rapide d'entrer dans l'entreprise », déclare le PDG de la société, Oege de Moor. Ses propos ont été cités par SC Magazine en réponse aux rapports sur le code PoC.

La vulnérabilité est liée à une validation insuffisante des données d'entrée fournies par les utilisateurs. S'il est exploité avec succès, il permet à un attaquant d'exécuter le code de son choix sur des serveurs exécutant une version vulnérable du framework. Une « URL simple et bien conçue » suffit pour obtenir l'accès à une installation vulnérable d'Apache Struts, selon Allan Liska de Recorded Future, qui parle à Dark Reading.

Une faille affectant Apache Struts 2 a été exploitée dans la brèche géante d'Equifax qui a affecté plus de 140 millions d'individus aux États-Unis l'année dernière. Contrairement à la vulnérabilité qui était au cœur de la débâcle d'Equifax, la nouvelle faille peut être exploitée même en l'absence de plugins supplémentaires sur l'installation vulnérable d'Apache Struts 2.

Apache Struts 2 est utilisé par les deux tiers des entreprises du Fortune 100.