Sécurité Web : Apache Struts 2 victime d’un ransomware

Les attaquants exploitent une vulnérabilité corrigée le mois dernier. Elle est utilisée via Web Apache Struts pour installer le ransomware sur les serveurs.

Le SANS Internet Storm Center a publié une alerte jeudi. Il affirme qu’une campagne d’attaque compromettait les serveurs Windows (numéro CVE-2017-5638).

En outre, le défaut est situé dans l’analyseur Jakarta Multipart dans Apache Struts 2. Il permet aux attaquants d’exécuter des commandes système avec les privilèges de l’utilisateur. Il s’exécute sur le processus du serveur Web et ainsi contourner les sécurité du système .

Cette vulnérabilité a été corrigée dans les versions 2.3.32 et 2.5.10.1 de Struts et permet d’améliorer la sécurité.

Les attaquants ont commencé à exploiter la faille presque immédiatement. Cela laissant très peu de temps aux administrateurs de serveurs pour déployer la mise à jour.

Alors que les campagnes d’attaque initiales ont déployé des backdoors simples et des bots Unix, les dernières attaques vécues par les chercheurs de SANS déploient un programme malveillant potentiellement beaucoup plus dommageable: le programme Cerbers Ransomware.

Le programme Cerber

Cerber est apparu il y a plus d’un an et a eu le temps de mûrir. Il est bien développé et son implémentation de cryptage n’a pas de défauts connus qui pourraient permettre la récupération gratuite de fichiers.

Struts est largement utilisé pour le développement d’applications dans les environnements d’entreprise. Ce n’est pas la première fois que le logiciel serveur serveur serveur a été exploité pour installer ransomware. L’année dernière, les attaquants ont profité d’une vulnérabilité dans le serveur d’applications JBoss d’une manière similaire.

Cependant, les administrateurs de serveur qui n’ont pas mis à jour leurs déploiements Struts devraient le faire dès que possible. En outre, étant donné que cette vulnérabilité permet l’exécution de la commande avec les privilèges de l’utilisateur exécutant l’application, il est donc judicieux d’exécuter le processus à partir de comptes non privilégiés.

Enfin, les stratégies de liste blanche d’application peuvent être utilisées sur les serveurs Windows. Pour limiter les applications auxquelles les utilisateurs privés peuvent être exécutés, ce qui permet de bloquer la capacité des attaquants d’exécuter des logiciels malveillants ou de ransomware.

Pour plus d’informations : ransomware Cerbers