{"id":93313,"date":"2018-10-11T09:29:08","date_gmt":"2018-10-11T16:29:08","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=93313"},"modified":"2018-10-11T09:29:08","modified_gmt":"2018-10-11T16:29:08","slug":"synthese-sur-les-cybermenaces-informations-concernant-la-vulnerabilite-critique-cve-2018-11776-dapache-struts","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2018\/10\/synthese-sur-les-cybermenaces-informations-concernant-la-vulnerabilite-critique-cve-2018-11776-dapache-struts\/?lang=fr","title":{"rendered":"Synth\u00e8se sur les cybermenaces \u2013 Informations concernant la vuln\u00e9rabilit\u00e9 critique CVE-2018-11776 d\u2019Apache Struts"},"content":{"rendered":"

Le contexte<\/strong><\/p>\n

Le 22\u00a0ao\u00fbt dernier, la fondation Apache a publi\u00e9<\/a><\/u> une mise \u00e0 jour de s\u00e9curit\u00e9 capitale relative \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2018-1176<\/a><\/u> d\u2019Apache Struts (versions 2.3 \u00e0 2.3.34 et 2.5 \u00e0 2.5.16). La fondation a exhort\u00e9 tous les utilisateurs concern\u00e9s \u00e0 appliquer cette mise \u00e0 jour dans les plus brefs d\u00e9lais.<\/p>\n

Cet article a pour objectif d\u2019aider les entreprises \u00e0 \u00e9valuer leur degr\u00e9 d\u2019exposition \u00e0 cette vuln\u00e9rabilit\u00e9. Les clients Palo\u00a0Alto\u00a0Networks n\u2019ayant pas encore appliqu\u00e9 la mise \u00e0 jour y trouveront \u00e9galement des conseils sur les mesures de protection disponibles pour r\u00e9duire le risque. Quant aux clients ayant d\u00e9ploy\u00e9 les derni\u00e8res signatures (publi\u00e9es le 24\u00a0ao\u00fbt\u00a02018), ils sont d\u2019ores et d\u00e9j\u00e0 prot\u00e9g\u00e9s.<\/p>\n

 <\/p>\n

La vuln\u00e9rabilit\u00e9<\/strong><\/p>\n

Selon la fondation Apache et le chercheur en s\u00e9curit\u00e9 Man Yue Mo<\/a>, la faille CVE-2018-1176 permet d\u2019ex\u00e9cuter du code \u00e0 distance sur un serveur \u00e9quip\u00e9 d\u2019une version vuln\u00e9rable d\u2019Apache Struts. L\u2019attaque s\u2019op\u00e8re par l\u2019envoi d\u2019une URL sp\u00e9cifique \u00e0 ce syst\u00e8me. Par ailleurs, l\u2019exploitation de la vuln\u00e9rabilit\u00e9 ne requiert en g\u00e9n\u00e9ral aucune authentification.<\/p>\n

Pour aboutir, une attaque ex\u00e9cute le code dans le contexte de s\u00e9curit\u00e9 utilis\u00e9 par Struts, ce qui, dans certains cas, provoque la compromission de tout le syst\u00e8me.<\/p>\n

Notez cependant que cette faille n\u2019est pas exploitable dans des configurations par d\u00e9faut. En effet, pour \u00eatre une cible potentielle, un syst\u00e8me doit r\u00e9unir deux conditions.<\/p>\n

Premi\u00e8rement, l\u2019indicateur alwaysSelectFullNamespace<\/a><\/u> doit comporter la valeur \u00ab\u00a0true\u00a0\u00bb. (Remarque\u00a0: par d\u00e9faut, cette valeur est d\u00e9finie sur \u00ab\u00a0true\u00a0\u00bb pour les applications qui utilisent le plugin Struts Convention<\/a><\/u>).<\/p>\n

Deuxi\u00e8mement, le fichier de configuration Struts doit contenir des \u00ab\u00a0actions\u00a0\u00bb qui ne pr\u00e9cisent aucun espace de noms ou un espace de noms \u00e0 valeur g\u00e9n\u00e9rique (wildcard). Cette condition s\u2019applique aux actions et aux espaces de noms sp\u00e9cifi\u00e9s dans le fichier de configuration de Struts. Remarque\u00a0: cette condition s\u2019applique \u00e9galement aux actions et aux espaces de noms sp\u00e9cifi\u00e9s dans le code Java des applications qui exploitent le plugin Struts Convention.<\/p>\n

Une application Struts qui ne r\u00e9unit pas ces deux conditions reste vuln\u00e9rable, mais elle n\u2019est (\u00e0 ce jour) pas exploitable via la vuln\u00e9rabilit\u00e9 CVE-2018-11776.<\/p>\n

Notez cependant que la pr\u00e9sence du plugin Struts Convention augmente le risque d\u2019exploitabilit\u00e9.<\/p>\n

 <\/p>\n

Le champ des menaces<\/strong><\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2018-11776 a \u00e9t\u00e9 d\u00e9couverte le 22\u00a0ao\u00fbt dernier, le jour m\u00eame o\u00f9 des mises \u00e0 jour de s\u00e9curit\u00e9 ont \u00e9t\u00e9 publi\u00e9es pour y rem\u00e9dier. Des informations d\u00e9taill\u00e9es sur la vuln\u00e9rabilit\u00e9, les m\u00e9thodes d'exploitation ainsi qu\u2019un code de preuve de concept (PoC) sont disponibles. Comme soulign\u00e9 plus haut, cette preuve de concept ne s\u2019applique qu\u2019aux syst\u00e8mes vuln\u00e9rables qui remplissent les deux conditions d\u2019exploitabilit\u00e9.<\/p>\n

Une autre vuln\u00e9rabilit\u00e9 de Struts a \u00e9galement servi de vecteur \u00e0 de nombreuses attaques l\u2019an dernier, trois jours seulement apr\u00e8s son annonce et la publication des mises \u00e0 jour de s\u00e9curit\u00e9 associ\u00e9es.<\/p>\n

Aujourd\u2019hui, les activit\u00e9s cybercriminelles semblent au point mort dans ce domaine. Et la double condition n\u00e9cessaire \u00e0 l\u2019exploitation de la vuln\u00e9rabilit\u00e9 y joue certainement un r\u00f4le.<\/p>\n

Cependant, compte tenu de la disponibilit\u00e9 du code PoC, on peut s\u2019attendre \u00e0 quelques \u00ab\u00a0tirs d\u2019essai\u00a0\u00bb, voire \u00e0 une exploitation active de cette vuln\u00e9rabilit\u00e9 dans un futur proche.<\/p>\n

Avant d\u2019appliquer les correctifs, les entreprises doivent \u00e9valuer leur risque en se posant quatre questions\u00a0:<\/p>\n