HomeApache Struts2

Apache Struts2

CVE-2017-5638

Apache Struts2

CVE-2017-5638

Apache Struts2 était sur toutes les premières pages lors de sa découverte ainsi que dans les mois qui ont suivi. La vulnérabilité a un score de 10 sur 10 et en mots simples, elle permet à n’importe qui d’exécuter n’importe quoi sur le serveur vulnérable.

Le serveur Apache prend n’importe quel code passé en argument « Content-Type » et l’exécute sur la machine. L’attaque est reconnaissable à cause de la chaine de caractères commençant  par le mot « Context » à l’intérieur de la balise content-type.

En septembre 2017, c’est cette vulnérabilité qui a permis à des attaquants de voler les données financières de 148 millions d’Américains chez Equifax. Le gouvernement US accuse la Chine mais le Parti Communiste Chinois (PCC) nie tout en bloc.

Article Wikipédia sur l’attaque

Nous voyons cette attaque régulièrement sur notre réseau. Sachant qu’il y a des millions de serveurs faisant tourner Apache dans le monde, les attaquants espèrent toujours trouver des machines non protégées.

Notre IPS fait tomber les connections comportant l’attaque Apache Strusts2. Les IPs sont rajoutées au Firewall pour empêcher toute récidive.