Onveilige versies van Apache Struts, de software waardoor aanvallers vorig jaar bij Equifax de gegevens van 147 miljoen Amerikanen wisten te stelen, worden nog altijd massaal door bedrijven gedownload. Dat blijkt uit onderzoek van Sonatype, een bedrijf dat tools voor software-engineering aanbiedt.
Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties. De Amerikaanse kredietbeoordelaar Equifax werd vorig jaar mei gehackt via een beveiligingslek in Apache Struts waarvoor begin maart al een update was verschenen. Sinds het uitkomen van de gepatchte versie in maart, alsmede sinds het uitkomen van andere patches, blijkt dat er nog altijd duizenden organisaties zijn die een onveilige Struts-versie downloaden. Het gaat om zo'n 80.000 onveilige Struts-downloads per maand, met een uitschieter van bijna 100.000 downloads in november. Sonatype presenteerde de cijfers tijdens de afgelopen RSA Conferentie.
Het bedrijf kon de gegevens verzamelen via een code respository die het aanbiedt en waar veel softwareontwikkelaars gebruik van maken bij het ontwikkelen van applicaties. Als er een verzoek voor code in de respository binnenkomt, bepaalt Sonatype aan de hand van het ip-adres van de aanvrager om welke organisatie het gaat. Sinds het ernstige Struts-lek in maart vorig jaar werd gepatcht hebben bijna 11.000 organisaties een onveilige Struts-versie gedownload, waaronder 57 procent van de Fortune Global 100-bedrijven, zo meldt zakenblad Fortune. Meer dan 3.000 organisaties hebben de kwetsbare Struts-versie gedownload waardoor ook Equifax werd gehackt. Sonatype laat weten dat het probleem niet alleen bij Struts speelt. Ook bij andere opensourceprojecten komt het voor.
Deze posting is gelocked. Reageren is niet meer mogelijk.