La faille CVE-2023-50164 a suscité d'importantes inquiétudes en matière de sécurité au sein de la communauté de la cybersécurité en 2023. Cette faille critique (publiée le 7 décembre 2023) dans Apache Struts 2, un framework open source largement utilisé pour les applications Web, avait le potentiel d'être exploitée par des acteurs malveillants, conduisant à l'exécution de code à distance (RCE) et une compromission grave du système.
Les organisations qui s'appuyaient sur Apache Struts ont dû évaluer leur exposition aux risques d'exploitation de la vulnérabilité CVE-2023-50164 et mettre en œuvre des mesures d'atténuation pour prévenir d'éventuelles violations. Bien que des correctifs soient disponibles, les organisations qui n'ont pas encore résolu cette vulnérabilité doivent agir immédiatement. Dans cet article, nous allons explorer les détails de l'exploitation de la vulnérabilité CVE-2023-50164, son impact, les recommandations de sécurité applicables et bien plus encore. Continuez à lire !
Qu'est-ce que CVE-2023-50164?
CVE-2023-50164 est une vulnérabilité critique identifiée dans Apache Struts 2, et elle affecte les versions 2.0.0 à 2.5.32 et 6.0.0 à 6.3.0. La vulnérabilité est due à une validation d'entrée inadéquate dans le mécanisme de téléchargement de fichiers, ce qui a permis aux attaquants de contourner les contrôles de sécurité et d'exécuter du code arbitraire sur le système ciblé.
Cette vulnérabilité a été classée comme un risque d'exécution de code à distance, ce qui la rend particulièrement dangereuse pour les organisations qui s'appuient sur Apache Struts pour leurs applications Web. L'exploitation réussie de CVE-2023-50164 a permis à des acteurs malveillants d'obtenir un accès non autorisé, d'exécuter des charges utiles malveillantes et d'augmenter potentiellement les privilèges au sein de l'environnement compromis.
Mais comment ça marche ?
Décomposition technique de l'exploit
Cette vulnérabilité est due à des mesures de sécurité inadéquates dans la fonctionnalité de téléchargement de fichiers. Les attaquants ont pu exploiter cette faille en créant des requêtes HTTP malveillantes qui contournaient les restrictions de téléchargement et injectaient du code arbitraire dans le système.
Vecteur d'attaque et exploitation de CVE-2023-50164
L'exploit CVE-2023-50164 s'est produit de la manière suivante :
1️⃣ Téléchargement de fichiers malveillants conçu : L'attaquant a soumis un fichier spécialement conçu pour contourner les filtres de sécurité
2️⃣ Exécution d'un code arbitraire : Le fichier téléchargé a été traité dans l'application, permettant l'exécution de scripts ou de commandes non autorisés
3️⃣ Compromission du système : Une fois exécuté, l'attaquant a pu manipuler l'application, exfiltrer des données sensibles ou déployer d'autres exploits pour augmenter les privilèges
Une exploitation réussie pourrait conduire à une prise de contrôle complète du système, au vol de données ou au déploiement de nouveaux logiciels malveillants.
Versions et systèmes concernés
Les versions d'Apache Struts affectées par CVE-2023-50164 incluent :
- Struts 2.0.0 à 2.5.32
- Struts 6.0.0 à 6.3.0
Toutes les applications qui s'appuyaient sur ces versions sans mettre en œuvre de mesures d'atténuation étaient en danger. Les organisations utilisant Apache Struts auraient dû évaluer leur exposition et appliquer les correctifs de sécurité. Celles qui n'ont pas encore appliqué de correctif doivent agir immédiatement.
Détection et indicateurs de compromission (IoC)
Les équipes de sécurité doivent surveiller les indicateurs suivants pour détecter d’éventuelles tentatives d’exploitation de CVE-2023-50164 :
🔹 Téléchargements de fichiers inhabituels avec des scripts exécutables dans des répertoires qui stockent généralement des fichiers non exécutables
🔹 Exécutions de processus inattendues liées aux fichiers téléchargés
🔹 Requêtes HTTP anormales ciblant les points de terminaison de téléchargement de fichiers avec des charges utiles suspectes
🔹 Modifications non autorisées des fichiers ou des configurations d'applications Web
La surveillance proactive des journaux du serveur, de l’intégrité des fichiers et des activités des points de terminaison reste cruciale pour détecter et prévenir les tentatives d’exploitation CVE-2023-50164.
Quelques stratégies d’atténuation possibles
Les organisations qui n’ont pas encore atténué la vulnérabilité CVE-2023-50164 doivent immédiatement prendre les mesures suivantes :
1. Appliquer les correctifs de sécurité
– L’Apache Software Foundation a publié des versions corrigées corrigeant le problème CVE-2023-50164.
– Les organisations doivent immédiatement effectuer une mise à niveau vers Struts 2.5.33 ou 6.3.0.2.
2. Restreindre les autorisations de téléchargement de fichiers
– Limitez les types et les tailles de fichiers qui peuvent être téléchargés.
– Appliquer des contrôles d’accès stricts aux emplacements de stockage des fichiers.
3. Implémenter des pare-feu d'applications Web (WAF)
– Configurez les règles WAF pour détecter et bloquer les requêtes HTTP malveillantes tentant d’exploiter CVE-2023-50164.
4. Surveiller le comportement des applications
– Déployer des systèmes de détection d’anomalies comportementales pour identifier et atténuer les activités suspectes associées aux exploits CVE-2023-50164.
5. Appliquer des pratiques de codage sécurisées
– Les développeurs doivent intégrer des techniques de validation des entrées sécurisées pour empêcher les téléchargements de fichiers non autorisés et atténuer les risques d’exécution de code à distance (RCE).
Regardez notre épisode de discussion SafeDev non protégé sur la sécurité open source et obtenez des conseils d’experts et des enseignements pratiques !
Exploitations et menaces dans le monde réel
Suite à la divulgation de CVE-2023-50164, des rapports de cybersécurité ont mis en évidence des tentatives d'analyse et d'exploitation actives ciblant les instances Apache Struts non corrigées.
Les acteurs de la menace ont été observés :
⚠️ Déploiement de shells Web pour un accès persistant aux systèmes compromis
⚠️ Exploitation de serveurs non corrigés pour l'exfiltration de données et le mouvement latéral
⚠️ Utiliser la vulnérabilité comme point d'accès initial dans les cyberattaques à plusieurs étapes
Bien que les correctifs aient atténué une grande partie du risque immédiat, les organisations doivent rester vigilantes face à des menaces similaires à l’avenir.
Comment Xygeni peut-il vous aider ?
Comme nous l'avons déjà expliqué, la vulnérabilité CVE-2023-50164 était une vulnérabilité critique d'Apache Struts qui représentait un risque important pour certaines organisations. Bien que des correctifs aient été publiés, les organisations doivent s'assurer de les avoir mis en œuvre pour éviter toute nouvelle exploitation potentielle.
Adopter gestion des vulnérabilités reste essentiel pour atténuer les risques de sécurité des logiciels et sécuriser enterprise applications contre les menaces émergentes. Chez Xygeni, nous fournissons une solution de sécurité logicielle avancée pour aider les organisations à détecter et atténuer les risques associés aux vulnérabilités logicielles telles que CVE-2023-50164. Certaines des fonctionnalités les plus appréciées sont :
- Détection des menaces en temps réel
- Réduction du bruit
- Accessibilité, Priorisation & Exploitabilité
- Conformité de sécurité automatisée
- Surveillance continue pour protéger les applications critiques
- Et bien plus encore!
Découvrez comment Xygeni peut protéger votre chaîne d'approvisionnement en logiciels contre les menaces émergentes : obtenir une démo or Inscrivez-vous à un essai gratuit aujourd'hui!
