Kihagyott patch okozhatta az Equifax botrányt
A 143 millió amerikait érintő online támadás egy két hónapja ismert Apache Struts sebezhetőséget használt.
Tovább göngyölődik az Equifax botrány, a hitelbíráló immár maga is megerősítette, hogy egy Apache Struts sebezhetőségen keresztül sikerült a támadóknak bejutni rendszerébe, ahonnan aztán mintegy 143 millió amerikai érzékeny személyes adatait lopták el. A valaha volt egyik legsúlyosabb biztonsági fiaskó ezzel tovább súlyosbodik, a szóban forgó sérülékenységre ugyanis már jóval a támadást megelőzően rendelkezésre állt javítás.
Az Apache Struts webalkalmazás keretrendszert előszeretettel használják nagyvállalatok Java EE webappok fejlesztésénél, ez dolgozott az Equifax nyilvános weboldala mögött is - a Strutsot a Quartz szerint a Fortune 100 cégek legalább 65 százaléka alkalmazza. Korábban is sejthető volt, hogy a behatolók utóbbi rendszeren találtak fogást az akció végrehajtásához, ugyanakkor egészen idáig a hitelbíráló intézet nem erősítette meg ezeket az értesüléseket, sőt, a ZDNet információi szerint olyan jelentés is volt, amit ezzel kapcsolatban visszahívtak.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az adatlopás mögött álló támadók az Apache Struts CVE-2017-5638 webszerver-sérülékenységet használták ki, amely már idén márciusban nyilvánosságra került, és amelynek befoltozására még aznap, március 7-én patch is érkezett. A sebezhetőségen keresztül egy a fájlfeltöltéshez kapcsolódó bugot használhatnak ki, amely lehetővé teszi, hogy rosszindulatú kódot, vagy parancsokat küldjenek a szerver felé. Miután a hiba nyilvánosságra került, biztonsági szakértők szerint szinte azonnal megindultak az arra apelláló támadások, ami jól illusztrálja, hogy nagyvállalati környezetben mennyire fontos a frissítések késlekedés nélküli telepítése. Arról egyelőre nincs információ, hogy más Apache Struts használó vállalatoknál okozott-e problémát a sebezhetőség.
Jelen állás szerint tehát az Equifax annak köszönheti a támadást, hogy nem telepítette időben a biztonsági frissítéseket. A vállalat tehát mintegy két hónapon keresztül hagyta figyelmen kívül a javítást - ami nem kis hanyagság, főként figyelembe véve, hogy kifejezetten érzékeny adatokról van szó, beleértve az ügyfelek teljes nevét, születési dátumát, lakcímét, társadalombiztosítási számát, sőt sok esetben még vezetői engedélyének számát is. Az események után nem meglepő módon elárasztották az intézetet a biztonsági befagyasztási kérelmek, ami alatt az Equifax rendszerei végül meg is rogytak, tegnap a vállalat kapcsolódó oldala nagyjából egy órán keresztül nem volt elérhető.