Numéro : AL25-002
Date : 19 mars 2025
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 10 mars 2025, Apache a publié un avis de sécuritéNote de bas de page 1 concernant une vulnérabilité (CVE-2025-24813) touchant les versions suivantes du logiciel de serveur Web Apache Tomcat :
- Apache Tomcat – versions 11.0.0-M1 à 11.0.2;
- Apache Tomcat – versions 10.1.0-M1 à 10.1.34;
- Apache Tomcat – versions 9.0.0.M1 à 9.0.98.
Cette vulnérabilité pourrait permettre à un auteur de menace d’afficher ou d’injecter du contenu arbitraire dans des fichiers sensibles sur le plan de la sécurité ou d’exécuter du code à distance. L’exploitation n’exige pas d’authentification et est causée par le fait que Tomcat accepte les requêtes PUT partielles et sa persistance de session par défautNote de bas de page 2Note de bas de page 3.
Par ailleurs, ApacheApache a indiqué que les conditions suivantes sont nécessaires pour qu’un auteur de menace puisse afficher ou injecter du contenu dans les fichiers sensibles sur le plan de la sécuritéNote de bas de page1 :
- l’écriture doit être activée pour le servlet par défaut (désactivée par défaut);
- les requêtes PUT partielles doivent être prises en charge (activée par défaut);
- une adresse URL cible pour les téléversements sensibles sur le plan de la sécurité doit être un sous-répertoire d’une adresse URL cible pour les téléversements publics;
- l’attaquant doit connaître le nom des fichiers sensibles sur le plan de la sécurité qui sont téléversés;
- les fichiers sensibles sur le plan de la sécurité doivent aussi être téléversés au moyen de requêtes PUT partielles.
Apache indique également que les conditions suivantes sont requises pour qu’un auteur de menace puisse exécuter du code à distanceNote de bas de page1 :
- l’écriture doit être activée pour le servlet par défaut (désactivée par défaut);
- les requêtes PUT partielles doivent être prises en charge (activée par défaut);
- l’application doit utiliser la persistance de session basée sur les fichiers de Tomcat avec l’emplacement de stockage par défaut;
- l’application doit inclure une bibliothèque pouvant être utilisée dans le cadre d’une attaque par désérialisation.
En réponse à cette information, le Centre pour la cybersécurité a publié le bulletin AV25-127 le 10 marsNote de bas de page 4.
Mesures Recommandées
Les organisations devraient examiner leurs configurations pour les aider à déterminer leur risque. Elles devraient également vérifier si elles exécutent des versions vulnérables de Apache Tomcat.
On conseille aux organisations d’installer les versions mises à jour suivantes de Apache Tomcat Note de bas de page1 :
- version 11.0.3 ou ultérieure;
- version 10.1.35 ou ultérieure;
- version 9.0.99 ou ultérieure;
Les organisations devraient également consulter et mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 5 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
- l’intégration, la surveillance et la défense des passerelles Internet;
- l’application des correctifs aux applications et aux systèmes d’exploitation;
- l’isolement des applications Web;
- le renforcement des systèmes d’exploitation et des applications.
Veuillez déterminer si des activités malveillantes connexes ont eu lieu dans des systèmes potentiellement vulnérables. Si tel est le cas, il est conseillé aux destinataires de le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.