Depuis ce week-end, le site internet-signalement.gouv.fr est fermé. Le portail officiel du gouvernement pour signaler des contenus illicites est marqué en maintenance mais ZATAZ rapporte une attaque dont un de ses espaces a été victime.
Comme d'autres sites notamment ministériels, il s'agirait d'une exploitation de la vulnérabilité affectant Apache Struts 2. Le 6 mars, Apache a publié un bulletin de sécurité S2-045 et un correctif. Pour autant, cette faille est activement exploitée.
Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) recommande le déploiement du correctif " dans les plus brefs délais. " Il ajoute : " Si les applications vulnérables contiennent des données sensibles, il est également fortement conseillé de les désactiver tant que la mise à jour n'a pas été appliquée. "
Référencée CVE-2017-5638, ladite vulnérabilité est de type exécution de code à distance. Elle touche le parser Jakarta Multipart dans Apache Struts 2 qui est un framework libre utilisé pour développer des applications Web Java EE. Pour une correction, il est nécessaire de passer aux versions 2.3.32 ou 2.5.10.1.
L'équipe Talos de Cisco a analysé que la majorité des tentatives d'exploitation tire parti d'une preuve de concept qui a été divulguée publiquement. Ces attaques peuvent s'appuyer sur une simple commande Linux " whoami " (pour déterminer le niveau d'accès au système) à des commandes plus sophistiquées dont pour extraire un exécutable ELF malveillant.
De manière plus générique, la vulnérabilité permet à des attaquants d'injecter des commandes malveillantes dans des requêtes HTTP qui sont ensuite exécutées par le serveur Web. Les chercheurs de Talos soulignent des charges utiles variées.
Le cas échéant, les petits plaisantans qui se sont amusés à exploiter une telle faille pour semer la zizanie sur des sites gouvernementaux pourraient le payer assez cher.
