Une faille dans Apache Struts touche plus de 29 millions de serveurs

Posted On 09 Mar 2017

Tag: Apache Struts, CVE-2017-5638, infiltration, S2-045

Une alerte concernant une faille visant Apache Struts touche plus de 29 millions de serveurs selon un simple dork Google.

Il y a quelques heures, une alerte concernant les administrateurs de serveurs Apache confirmait une vulnérabilité dans Apache Struts. Pour faire rapide, Apache Struts est un outil libre servant au développement d’applications web en Java EE [formulaire, …]. La faille a été notifiée sous l’appellation CVE-2017-5638. En utilisant un simple dork Google, série de commandes permettant de faire ressortir des résultats ciblés, j’ai pu constater 29 282 900 possibilités, dont plus de 250 .fr, de malveillances via le code [Python] du PoC de la CVE en question.

Serveur Apache en danger. Il est grand temps de patcher ! Apache Strust CVE: 2017-5638 ! #cybersécurité

— ZATAZ – "o/" (@zataz) March 9, 2017

Une faille qui donne les droits de l’utilisateur lié au serveur web vulnérable. J’ai pu constater, liste donc non exhaustive, des espaces trés importants et sensibles appartenant à des assurances, ministères… Cette faille permet de lancer des commandes sur les serveurs incriminés. Comme me l’a précisé Sébastian Gioria, un consultant en sécurité des systémes d’information et expert judiciaire Français « Une manipulation avec des uploads multipart« .

L’espace « Déclarations » incriminé a été fermé pour correction.

Mise à jour Dimanche 12 mars : Alors que ZATAZ avait été le premier à alerter sur ce problème de vulnérabilités, des centaines de sites et serveurs se sont fait infiltrer en quelques jours. En France, plusieurs sites Ministériels ont été touchés ces dernières heures comme l’espace « e-services » dédié aux professionnels de santé libéraux ; l’espace Pro Douane ou encore le portail gouvernemental dédié aux réseaux et canalisation [Ineris] sans parler du site internet-signalement.gouv.fr fermé le temps de la correction, après une attaque ou encore de l’espace Déclaration de la CNIL. La Banque Belge psabank.be, ainsi que d’importantes entreprises comme Century 21 ont, elles aussi, été impactées. Les pirates exploitent des scripts qui utilisent la vulnérabilité Apache Struts signée CVE-2017-5638 et dont le patch est accessible ICI depuis le 10 mars.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.