Danger pour les utilisateurs du framework open source Apache Struts pour rationaliser le développement d'applications web Java EE. Très répandu au sein des entreprises, mais aussi des administrations, ce dernier a été affecté par une vulnérabilité identifiée comme critique (CVE-2023-50164). La faille RCE (exécution de code à distance) affecte les versions Struts 2.0.0 à 2.3.37 (fin de vie), 2.5.0 à 2.5.32 et 6.0.0 à 6.3.0. En réaction, la fondation Apache qui gère ce projet a publié des mises à jour 6.3.0.2 et 2.5.33 pour résoudre ce sérieux problème de sécurité. Si toutes les conditions d'exploit sont réunies, un cybercriminel peut télécharger des fichiers malveillants et réaliser une exécution de code à distance sur un serveur cible. Avec à la clé modifier des fichiers sensibles, voler des données, perturber des services critiques ou réaliser des déplacements latéraux dans le réseau.

Cette vulnérabilité a été identifiée par Apache le 7 décembre avec donc des mises à jour poussées dans la foulée à appliquer dès que possible. Le timing d'application de ces MAJ s'est affolé lorsqu'un PoC d'exploit a été publié par un chercheur en sécurité le 10 décembre, laissant donc toute une belle opportunité à des pirates d'affuter leur exploit sur des systèmes non mis à jour. Et ce qui devait arriver arriva : selon la plateforme d'analyse des menaces Shadowserver, des pirates auraient commencé à se mettre au travail, des chercheurs ayant observé un petit nombre d'adresses IP engagées dans des tentatives d'exploitation. 

Cisco sur la brèche pour identifier ses produits vulnérables

Par ailleurs dans un bulletin de sécurité, Cisco indique qu'il étudie la CVE-2023-50164 pour déterminer quels produits utilisant Apache Struts pourraient être affectés et dans quelle mesure. Et ils pourraient être nombreux : Customer Collaboration Platform (anciennement SocialMiner), Identity Services Engine, Prime Access Registrar, Collaboration et Provisioning, License Manager et Service Catalog), Computer Telephony Integration Object Serve, Unified Communications Manager, Unified Intelligence Center...