Apache a corrigé une vulnérabilité critique dans son projet Struts très populaire qui était auparavant considérée comme résolue mais qui, en fait, n’a pas été entièrement corrigée.
À ce titre, la Cybersecurity and Infrastructure Security Agency (CISA) exhorte les utilisateurs et les administrateurs à effectuer une mise à niveau vers les dernières versions corrigées de Struts 2.
Struts est un framework de développement d’applications open source utilisé par les développeurs Web Java pour créer des applications modèle-vue-contrôleur (MVC).
Le défaut d’exécution de code à distance (RCE) n’a pas été entièrement résolu
Cette semaine, le DHS CISA exhorte organisations à mettre à niveau vers Struts2 version 2.5.30 (ou supérieure) qui corrige une vulnérabilité critique d’injection OGNL.
Suivie sous le nom de CVE-2021-31805, la vulnérabilité critique existe dans les versions Struts 2 de 2.0.0 à 2.5.29 inclus.
La vulnérabilité résulte d’un correctif incomplet qui a été appliqué pour CVE-2020-17530également un bug d’injection OGNL, avec un indice de gravité de 9,8 (critique).
Object-Graph Navigation Language (OGNL) est un langage d’expression (EL) open source pour Java qui simplifie la gamme d’expressions utilisées dans le langage Java. OGNL permet également aux développeurs de travailler plus facilement avec des tableaux. Cependant, l’analyse d’expressions OGNL basées sur des entrées utilisateur non fiables ou brutes peut être problématique, du point de vue de la sécurité.
En 2020, les chercheurs Alvaro Munoz de GitHub et Masato Anzai d’Aeye Security Lab avaient signalé une faille de « double évaluation » dans les versions 2.0.0 à 2.5.25 de Struts2, dans certaines circonstances.
« Certains des attributs de la balise pourraient effectuer une double évaluation si un développeur appliquait une évaluation OGNL forcée en utilisant la syntaxe %{…} », indique l’avis pour CVE-2020-17530.
« L’utilisation d’une évaluation OGNL forcée sur une entrée utilisateur non fiable peut entraîner une exécution de code à distance et une dégradation de la sécurité. »
Bien qu’Apache ait résolu le bug de 2020 dans Struts 2.5.26, le chercheur Chris McCown plus tard découvert que le correctif appliqué était incomplet.
En tant que tel, McCown a signalé de manière responsable à Apache que le problème de « double évaluation » pouvait toujours être reproduit dans les versions 2.5.26 et supérieures de Struts, entraînant l’attribution de CVE-2021-31805.
Les utilisateurs sont invités à passer à Entretoises 2.5.30 ou supérieur et pour éviter d’utiliser une évaluation OGNL forcée dans les attributs de la balise en fonction d’une entrée utilisateur non fiable.
De plus, Apache recommande de suivre son guide de sécurité pour les meilleures pratiques.
Le piratage Equifax de 2017 découle de l’injection d’OGNL
Cela a été une année de composants Java avec des vulnérabilités très médiatisées telles que Log4Shell et Spring4Shell dominant l’espace de la cybersécurité.
Aujourd’hui, avec la résurgence de cette faille critique vieille de deux ans dans Struts, les professionnels de la sécurité et les organisations peuvent avoir besoin d’examiner de près leurs environnements de serveurs Web.
Le cadre Struts a une histoire de vulnérabilités critiquesen particulier les failles d’exécution de code à distance résultant d’une utilisation non sécurisée d’OGNL.
Une autre faille Struts 2 OGNL Injection (CVE-2017-5638) avait déjà été exploitée dans la nature par des acteurs de la menace, y compris des groupes de rançongiciels.
Le géant de l’information sur le crédit à la consommation, Equifax, a confirmé plus tard que le piratage de l’entreprise en 2017 résultait de l’exploitation de CVE-2017-5638, qui était un jour zéro à l’époque.
La violation de données d’Equifax a compromis les données de 143 millions d’utilisateurs, car des pirates ont volé des noms, des numéros de sécurité sociale (SSN), des dates de naissance, des adresses et, dans certains cas, des numéros de permis de conduire.
Les numéros de carte de crédit d’environ 209 000 utilisateurs américains ont également été consultés par des acteurs de la menace. Sans révéler le nombre exact de personnes touchées, Equifax a confirmé que la violation avait également touché les résidents britanniques et canadiens dans une certaine mesure.