image

Onderzoekers: Equifax gehackt via Apache Struts-lek

zondag 10 september 2017, 11:13 door Redactie, 7 reacties

De Amerikaanse kredietbeoordelaar Equifax is gehackt via een beveiligingslek in Apache Struts, zo claimen onderzoekers van onderzoeksbureau Baird Equity (pdf). Het is echter onbekend om welk lek het precies gaat. Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties.

Het is een zeer populair platform voor ontwikkelaars. Volgens een industrie-analist maakt 65 procent van de Fortune 500-ondernemingen gebruik van Apache Struts. Dit jaar zijn er twee ernstige kwetsbaarheden in Struts gepatcht die hackers hebben gebruikt om servers waarop Struts-applicaties draaien over te nemen. De eerste kwetsbaarheid werd op 6 maart gepatcht, de tweede deze week, op 4 september. De hack bij Equifax vond halverwege mei plaats en werd op 29 juli ontdekt. Aanvallers wisten de gegevens van 143 miljoen Amerikanen te stelen.

De vraag is nu of Equifax de Struts-update van maart niet heeft geïnstalleerd en zo werd gehackt of dat dit via een zeroday-exploit gebeurde waar op het moment van de aanval nog geen update voor beschikbaar was. Kort na het verschijnen van de maart-update werden Struts-servers die de patch niet hadden geïnstalleerd actief aangevallen en onderdeel van een botnet gemaakt. Een scenario dat zich deze week herhaalde. 48 uur na het uitkomen van de september-update werden de eerste aanvallen waargenomen die tegen het net gepatchte lek waren gericht.

De Apache Software Foundation heeft nu gereageerd op het bericht dat Equifax via een Struts-kwetsbaarheid gehackt zou zijn. Volgens René Gielen, vice-president van Apache Struts, bevat alle complexe software kwetsbaarheden. Organisaties moeten dan ook geen beveiligingsbeleid baseren op de aanname dat softwareproducten foutloos zijn. Het is daarom belangrijk aanvullende beveiligingsmaatregelen te implementeren, zoals meerdere beveiligingslagen en monitoring, en ervoor zorgen dat patches snel worden uitgerold, aldus Gielen. "Deze aanbevelingen helpen om datalekken zoals die bij Equifax te voorkomen."

Reacties (7)
10-09-2017, 15:55 door Anoniem
Organisaties moeten dan ook geen beveiligingsbeleid baseren op de aanname dat softwareproducten foutloos zijn.
Zo is het. Het wordt veel te vaak gedaan. Bijv. "Ik heb een virusscanner" maar vergeten dat die niet perfect is en bovendien vergroot dit extra stuk software het aanvalsplatform.
10-09-2017, 16:48 door Anoniem
Ja of gebruiken ze dit nu enkel om hun falen op andere vlakken te verhullen? Het lijkt natuurlijk wel wat minder erg als de halve wereld hetzelfde probleem heeft, en de focus is van gerommel met pincodes en timestamps
11-09-2017, 12:33 door Anoniem
Door Anoniem: Ja of gebruiken ze dit nu enkel om hun falen op andere vlakken te verhullen? Het lijkt natuurlijk wel wat minder erg als de halve wereld hetzelfde probleem heeft, en de focus is van gerommel met pincodes en timestamps

Bij een goed geimplementeerde Web Applicatie Firewall had de aanval niet geleid tot de huidige impact. Maar dat komt omdat er veel te veel auditors rondlopen met het IQ van een muis op security vlak. Deze situatie dat ze allerlei bagger goed keuren volgens de kwaliteitseisen van ISO 27000 / Cobit leidt erto dat de echte security problemen NIET opgelost worden. Omdat de werkelijke oorzaken die leiden tot dergelijke rampen in feite NIET worden geadreseerd dergelijke frameworks. Dus is de oplossing simpel. Vergeet ak die BS certificeringen die achterlijke hoeveelheden geld kosten en huur een echte security architect in die je helpt om ECHTE security maatregelen te nemen die werken. Alleen dan ga je dit soort fiasco's een halt toeroepen.
11-09-2017, 19:29 door Anoniem
veel te veel auditors rondlopen met het IQ van een muis op security vlak.
:D
11-09-2017, 21:15 door SecGuru_OTX
Door Anoniem:
Door Anoniem: Ja of gebruiken ze dit nu enkel om hun falen op andere vlakken te verhullen? Het lijkt natuurlijk wel wat minder erg als de halve wereld hetzelfde probleem heeft, en de focus is van gerommel met pincodes en timestamps

Bij een goed geimplementeerde Web Applicatie Firewall had de aanval niet geleid tot de huidige impact. Maar dat komt omdat er veel te veel auditors rondlopen met het IQ van een muis op security vlak. Deze situatie dat ze allerlei bagger goed keuren volgens de kwaliteitseisen van ISO 27000 / Cobit leidt erto dat de echte security problemen NIET opgelost worden. Omdat de werkelijke oorzaken die leiden tot dergelijke rampen in feite NIET worden geadreseerd dergelijke frameworks. Dus is de oplossing simpel. Vergeet ak die BS certificeringen die achterlijke hoeveelheden geld kosten en huur een echte security architect in die je helpt om ECHTE security maatregelen te nemen die werken. Alleen dan ga je dit soort fiasco's een halt toeroepen.

Amen!

Helemaal mee eens.

Gebruik je budget voor Pentesten, Architectuur, Bug Bounty, Ethical Hackers, Vulnerability Management en Best in Class producten ipv voor al die nutteloze certificeringen.

Bedrijven en organisaties die zeggen dat ze veilig zijn omdat ze gecertificeerd zijn, zouden niet met het Internet verbonden moeten zijn.
12-09-2017, 16:04 door Anoniem
Door Anoniem:
veel te veel auditors rondlopen met het IQ van een muis op security vlak.
:D

aangenomen door iemand die natuurlijk VELE MALE slimmer is ?
13-09-2017, 17:45 door Anoniem
Door Anoniem:
Door Anoniem:
veel te veel auditors rondlopen met het IQ van een muis op security vlak.
:D

aangenomen door iemand die natuurlijk VELE MALE slimmer is ?

Ja dat is vaak zo. Domme mensen kunnen (helaas) niet goed realiseren dat er slimmere zijn. En slimmere weten dat veel beter. Het is ook gewoon ook de evolutie, 20%/15% (5%? :() is gewoon slimmer dan de rest. Daarom is democratie ook helemaal niet zo goed. Dat gaat immers uit van wat de grootste groep wil. Dat is nooit een goed uitgangspunt geweest, ik heb liever dat een slimme minderheid beslist, dan de domme massa.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.