[EXPLOIT][APACHE] Exécution de code arbitraire via une vulnérabilité au sein d'Apache Struts

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous partageons cette semaine le code d’exploitation publié au sein de Metasploit.


Description :

Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2016-1317, a été publiée.

La vulnérabilité en question, référencée CVE-2016-3087, affecte la fonctionnalité « Dynamic Method Invocation » à travers le plugin REST. L’exploitation de cette faille permet l’exécution de code arbitraire.

La preuve de concept se matérialise sous la forme d’un code en ruby. Ce code est destiné au framework MetaSploit et permet de créer une requête spécifique afin d’exécuter du code arbitraire.


Vulnérables :

  • Struts 2.0.0 à 2.3.24.1
  • Struts 2.3.20 à 2.3.28

Non vulnérables :

  • Struts 2.3.20.3
  • Struts 2.3.24.3
  • Struts 2.3.28.1

Recommandation :

Le CERT-XMCO recommande l’installation de la dernière version du logiciel disponible sur le site de l’éditeur à l’adresse http://struts.apache.org/download.cgi.

Référence :

  • https://github.com/rapid7/metasploit-framework/blob/7cdadca79bab737df507200891834639977e36ae/modules/exploits/multi/http/struts_dmi_rest_exec.rb

Référence CVE :

Référence CERT-XMCO :
CXA-2016-1803

Adrien Guinault

Découvrir d'autres articles

  • conflit israélo-palestinien
    Cyber Threat Intelligence

    Retour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien

    Lire l'article
  • Veille / Vulnérabilités

    Exploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing

    Lire l'article
  • Veille / Vulnérabilités

    10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA

    Lire l'article