Apache Struts, une nouvelle faille critique

logo Struts cybersécurité

Struts : Aperçu

Bien avant la faille de sécurité Log4Shell, une autre faille critique, baptisée Apache Struts, a défrayé la chronique. Apache Struts est un framework développé par la fondation Apache qui permet de développer des applications web en Java. Les fonctionnalités de ce framework peuvent être étendues par l’utilisation de plugins, comme un analyseur syntaxique de JSON ou un module facilitant la création d’API REST. Pour ce qui est de l’architecture, Struts adopte une approche Model-Vue-Contrôleur. Cependant, une des spécificités de Struts est que les contrôleurs sont appelés des actions et possèdent l’extension de fichier « .action ». Un indice valable lors de la réalisation de tests d’intrusion d’une application web…

Struts : Configuration

Les liens entre les différentes routes, actions et vues sont définis dans un fichier de configuration à la racine de l’application nommé « struts.xml ». Voici un exemple de configuration par défaut :

Les actions sont donc contenues dans des packages dans lesquels il est possible de spécifier un namespace. Spécifier un namespace permet de grouper les actions et est directement répercuté sur l’URL finale d’accès aux actions en question. Voici donc un nouvel exemple avec l’ajout de cet attribut :

Ajouter des namespaces fait donc partie des bonnes pratiques de configuration d’Apache Struts. C’est justement l’objet de la vulnérabilité découverte récemment : CVE-2018-11776.

CVE-2018-11776 : Aperçu

Cette vulnérabilité a été découverte par Man Yue Mo, chercheur chez Semmle Security en août 2018. Elle permet à un attaquant d’exécuter à distance des commandes arbitraires sur la machine hôte.

La faille résulte du fait que l’URL d’accès aux actions d’une application Struts passe avant tout par un analyseur syntaxique qui va s’atteler à récupérer le namespace dans lequel est contenue l’action demandée. Cependant, dans le cas où l’action n’a pas de namespace attribué et que l’option « alwaysSelectFullNamespace » est définie à « true », il est possible de faire exécuter des commandes au serveur. Voici un exemple qui illustre cette résolution de commande :

CVE-2018-11776 : Exploitation

Comme dit précédemment, plus intéressant que de résoudre des opérations algébriques, il est possible de faire exécuter à la machine hôte des commandes systèmes grâce à l’injection d’une charge formatée comme suit :

Pour faciliter l’exploitation de cette faille, il est possible d’utiliser sur GitHub le script python développé par Mazin Ahmed appelé « struts-pwn.py ».

Voyez, plutôt :

CVE-2018-11776 : Conséquences

Cette vulnérabilité a pour conséquence la prise de contrôle à distance de la machine hôte. Elle pourrait par conséquent être exploitée par des attaquants, leur permettant ainsi de récupérer des données sensibles sur la machine et les données personnelles des utilisateurs de l’application. Ce n’est pas sans rappeler la précédente faille critique ayant affecté Apache Struts (CVE-2017-5638), qui avait donné lieu à une fuite de plus de 200 000 cartes de crédit, données personnelles et numéros de sécurité sociale d’utilisateur de Equifax en Septembre 2017.

CVE-2018-11776 : Recommandations

Heureusement, il est relativement trivial de se prémunir contre l’exploitation de cette vulnérabilité. En effet, il suffit simplement de :

• Ne pas laisser la variable « alwaysSelectFullNamespace » définie à « true » dans la configuration de Struts
• Encapsuler chaque action (fichier .action) dans un namespace
Et surtout, effectuer une montée en version d’Apache Struts vers la version 2.5.17 ou supérieure

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article