Exploitation de la faille critique d’Apache Struts

Exploitation de la faille critique d’Apache Struts

Les pirates exploitent une faille critique d’Apache Struts à l’aide d’un PoC public. Les pirates tentent d’exploiter une vulnérabilité critique récemment corrigée (CVE-2023-50164) dans Apache Struts qui conduit à l’exécution de code à distance, dans des attaques qui s’appuient sur un code d’exploitation de preuve de concept accessible au public. Il semblerait que les acteurs de la menace viennent tout juste de commencer, selon la plateforme d’analyse Shadowserver, dont les chercheurs ont observé un petit nombre d’adresses IP engagées dans des tentatives d’exploitation.

Une faille Apache Struts menace 65% des entreprises du Fortune 100. Apache Struts, le framework MVC (Model–view–controller) de développement d’applications web Java EE, est victime d’une sévère faille de sécurité. Celle-ci réside plus particulièrement dans le plugin de communication REST, très utilisé dans les déploiements de Struts en entreprise.

Les chercheurs de Cisco Talos ont observé un grand nombre d’événements d’exploitations. Certaines d’entre elles exécutent seulement la commande Linux whoami pour déterminer les privilèges de l’utilisateur du serveur web. D’autres vont plus loin et arrêtent le pare-feu Linux avant de télécharger un exécutable ELF sur le serveur.

Le PoC, « y compris un script Python qui permet une exploitation facile », a été déniché par la société de renseignements sur les menaces Recorded Future sur la plateforme de développement logiciel GitHub. L’entreprise a également déclaré qu’elle a repéré des discussions sur des forums clandestins tournant autour de l’exploitation de la faille.

CVE-2023-50164, Un attaquant peut manipuler les paramètres de téléchargement de fichiers pour permettre la traversée des chemins et, dans certaines circonstances, cela peut conduire au téléchargement d’un fichier malveillant qui peut être utilisé pour effectuer l’exécution de code à distance. Il est recommandé aux utilisateurs de mettre à niveau vers les versions Struts 2.5.33 ou Struts 6.3.0.2 ou ultérieure pour résoudre ce problème.


Apache Struts est un framework libre servant au développement d'applications web Java EE. Il utilise et étend l'API Servlet Java afin d'encourager les développeurs à adopter l'architecture Modèle-Vue-Contrôleur (MVC). Cette infrastructure permet la conception et l'implémentation d'applications Web de taille importante par différents groupes de personnes. En d'autres termes, les designers, développeurs de composants logiciels peuvent gérer leur propre part du projet de manière découplée.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut