CVE-2024-53677 – Vulnérabilité touchant Apache Struts 2 - Centre canadien pour la cybersécurité

De : Centre canadien pour la cybersécurité

Numéro : AL24-013
Date: 16 décembre 2024

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 26 novembre 2024, Apache Software Foundation a publié un bulletin de sécurité faisant mention de la vulnérabilité CVE-2024-53677, une vulnérabilité critique concernant les versions d’Apache Struts 2 en fin de vie et actuelles ^{Note de bas de page 1}^{Note de bas de page3}.

La vulnérabilité s’est vue attribuer une cote CVSS de gravité de 9,5 sur10^{Note de bas de page4}.

Un auteur de menace malveillant peut exploiter cette vulnérabilité pour franchir les chemins de systèmes, téléverser des fichiers malveillants et effectuer une exécution de code à distance^{Note de bas de page1}^{Note de bas de page2}.

Les versions d’Apache Struts 2 touchées par cette vulnérabilité sont les suivantes :

2.0.0 à 2.3.37
2.5.0 à 2.5.33
6.0.0 à 6.3.0.2

Il est à noter que seules les applications qui utilisent FileUploadInterceptor sont vulnérables^{Note de bas de page1}. FileUploadInterceptor a été supprimé à partir de la version Struts 6.4.0^{Note de bas de page2}.

Apache Struts 2 est largement adopté dans les secteurs privé et public, et des vulnérabilités ont, par le passé, eu des incidences considérables sur des entreprises.

Le Centre pour la cybersécurité est au courant qu’une preuve de concept concernant un code d’exploitation est disponible pour cette CVE. L’existence d’une preuve de concept publiée signifie qu’il est impératif de prendre les mesures nécessaires pour évaluer et atténuer cette vulnérabilité.

Recommandations

Le Centre pour la cybersécurité recommande fortement aux organisations d’appliquer des correctifs aux systèmes Apache Strut 2 touchés de manière à utiliser les versions 6.4.0 ou plus récentes et de supprimer le FileUploadInterceptor déconseillé. Une fonction semblable est prise en charge par ActionFileUploadInterceptor.^{Note de bas de page2}

Les versions 2.0.0 à 2.3.37 d’Apache Struts sont vulnérables, mais elles ne sont plus prises en charge et présentent donc un risque important pour les activités. Les organisations touchées devraient remplacer les produits qui ne sont plus pris en charge par des versions qui le sont. ^{Note de bas de page1}

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :

Évaluer l’inventaire du cadre d’application Apache Struts sur leurs hôtes et de détecter des signes d’exploitation.
Appliquer des correctifs logiciels à Apache Struts 2 sans tarder.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page5} du Centre pour la cybersécurité, en particulier celles liées aux stratégies suivantes :

intégrer, surveiller et défendre les passerelles Internet;
appliquer des correctifs aux applications et aux systèmes d’exploitation;
isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Rapports de partenaires

ASCS – Critical security vulnerability affecting Apache Struts2 below 6.4.0 (en anglais seulement)

À propos du centre pour la cybersécurité

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux. Il les aide à se préparer à un incident de cybersécurité, intervient en cas d’incident de cybersécurité, atténue les conséquences qui en découlent et les aide à rétablir leurs activités. Ce faisant, il offre des conseils et du soutien spécialisés, et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Sélection de la langue

Recherche

Alerte - CVE-2024-53677 – Vulnérabilité touchant Apache Struts 2