[EXPLOIT][APACHE] Exécution de code arbitraire via une vulnérabilité au sein d’Apache Struts

[EXPLOIT][APACHE] Exécution de code arbitraire via une vulnérabilité au sein d’Apache Struts

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous partageons cette semaine le code d’exploitation publié au sein de Metasploit.


Description :

Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2016-1317, a été publiée.

La vulnérabilité en question, référencée CVE-2016-3087, affecte la fonctionnalité « Dynamic Method Invocation » à travers le plugin REST. L’exploitation de cette faille permet l’exécution de code arbitraire.

La preuve de concept se matérialise sous la forme d’un code en ruby. Ce code est destiné au framework MetaSploit et permet de créer une requête spécifique afin d’exécuter du code arbitraire.


Vulnérables :

  • Struts 2.0.0 à 2.3.24.1
  • Struts 2.3.20 à 2.3.28

Non vulnérables :

  • Struts 2.3.20.3
  • Struts 2.3.24.3
  • Struts 2.3.28.1

Recommandation :

Le CERT-XMCO recommande l’installation de la dernière version du logiciel disponible sur le site de l’éditeur à l’adresse http://struts.apache.org/download.cgi.

Référence :

  • https://github.com/rapid7/metasploit-framework/blob/7cdadca79bab737df507200891834639977e36ae/modules/exploits/multi/http/struts_dmi_rest_exec.rb

Référence CVE :

Référence CERT-XMCO :
CXA-2016-1803


Etienne Baudin

Analyste CERT-XMCO