Sélection de la langue

Alerte - Vulnérabilité touchant Apache Struts 2 - CVE-2023-50164

Numéro : AL23-019
Date : 15 décembre 2023

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 4 décembre 2023, Apache a publié un bulletin de sécurité faisant mention d’une vulnérabilité critique (CVE-2023-50164) touchant les versions 2.0.0 à 2.3.37, 2.5.0 à 2.5.32 et 6.0.0 à 6.3.0 d’Apache Struts 2 [1]. La vulnérabilité est évaluée à 9,8 selon le système de notation des vulnérabilités courantes (CVSS pour Common Vulnerability Scoring System) et peut permettre à un auteur de menace de téléverser des fichiers malveillants et d’exécuter du code à distance Note de bas de page 2

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) et ses organismes partenaires en cybersécurité ont publié des alertes et des avis invitant toutes les organisations à appliquer les correctifs aux produits touchés Note de bas de page 3Note de bas de page 4Note de bas de page 5Note de bas de page 6.

Par le passé, les vulnérabilités liées à Struts 2 étaient considérables étant donné l’adoption généralisée du cadre d’applications Apache Struts 2 au sein de l’industrie.

Le Centre pour la cybersécurité a vérifié les preuves de concept publiques et est au courant d’activités malveillantes au Canada.

Le Centre pour la cybersécurité recommande fortement aux organisations d’appliquer dès que possible les correctifs aux systèmes Apache Strut 2 touchés de manière à utiliser les versions 2.5.33 ou 6.3.0.2, ou une version plus récente.  Les versions 2.0.0 à 2.3.37 d’Apache Struts sont vulnérables, mais ne sont plus prises en charge. Il est recommandé que les organisations mettent à jour les produits non pris en charge et optent pour les versions prises en charge.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :

  • Vérifier si Apache Struts est installé sur leurs hôtes, surveiller leurs systèmes pour détecter les signes d’exploitation et appliquer le correctif logiciel en utilisant Struts 2 dès que possible.

Pour les systèmes Linux, il est possible d’utiliser la commande lsof pour identifier les fichiers Struts communément nommés dans les applications en utilisant la commande suivante :

  • sudo lsof -w | grep -i "struts2.*\.jar"

Pour les systèmes Windows, il est possible de déterminer l’emplacement des archives Apache Struts communément nommées en utilisant la commande PowerShell suivante, qui remplace <DRIVEPATH> pour chaque lecteur monté :

  • Get-ChildItem -Path -Recurse -ErrorAction SilentlyContinue -Filter '*struts*.jar'

Cette technique de détection ne constitue pas une méthode définitive d’identification de tous les systèmes et produits touchés. Le Centre pour la cybersécurité recommande fortement aux organisations de surveiller les pages Web des fournisseurs contenant les bulletins de sécurité afin de prendre connaissance des avis d’incidence et des mesures d’atténuation et correctifs recommandés.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI Note de bas de page 7 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

  • intégrer, surveiller et défendre les passerelles Internet;
  • appliquer des correctifs aux applications et aux systèmes d’exploitation;
  • isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Rapports de Partenaires

ACSC – Critical Vulnerability in popular Java framework Apache Struts2 – Alert (en anglais)

CISA - The Apache Software Foundation Updates Struts 2 – Alert (en anglais)

NCSC-NZ - Cyber Security Alert: CVE affecting Apache Struts 2 – Advisory (en anglais)

Date de modification :