La faille Apache Struts touche des sites gouvernementaux

0
95

La vulnérabilité ciblant Apache Struts 2 a fait de gros dégâts sur le Net ces derniers temps, avec près de 29 millions de sites vulnérables. Il semblerait que des sites officiels français aient été infiltrés par le biais de cette dangereuse faille de sécurité.

L’outil (framework) Apache Struts 2 lié à Java EE a été victime d’une vulnérabilité critique identifiée sous la référence CVE-2017-5638. Le 6 mars, Apache a publié un bulletin de sécurité S2-045 lié. Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) recommande le déploiement du correctif ” dans les plus brefs délais. ” Il ajoute : ” Si les applications vulnérables contiennent des données sensibles, il est également fortement conseillé de les désactiver tant que la mise à jour n’a pas été appliquée.

Un exploit développé en Python a été diffusé sur le Web et les pirates informatiques n’avaient qu’à partir à la chasse aux victimes… presque trop facile. Un patch correctif a été déployé le 10 mars, mais encore faut-il qu’il soit appliqué sur les serveurs concernés.

Plusieurs services et portails gouvernementaux français ont été touchés et mis en maintenance ces derniers jours. Parmi eux, citons notamment l’espace Pro Douane pour les déclarations DES, le portail Ineris, la CNIL, le site internet-signalement.gouv.fr et l’espace “e-services” dédié aux professionnels de santé libéraux. De multiples sites Web de grandes entreprises ont aussi été visités.

Webmasters, pensez à mettre à jour d’urgence si ce n’est pas trop tard !