image

Ernstig beveiligingslek in Apache Struts actief aangevallen

dinsdag 28 augustus 2018, 16:42 door Redactie, 18 reacties

Een ernstig beveiligingslek in Apache Struts waarvoor vorige week een update verscheen wordt nu actief aangevallen en gebruikt voor het infecteren van kwetsbare servers met een cryptominer. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties.

Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts zijn gemaakt. Op 22 augustus verscheen er een beveiligingsupdate van de Apache Foundation voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller kwetsbare servers overnemen. Een dag na het verschijnen van de update publiceerde een onderzoeker een proof-of-concept-exploit die van de kwetsbaarheid misbruik maakt.

Inmiddels is de exploit door cybercriminelen gebruikt om kwetsbare systemen aan te vallen en infecteren, zo meldt securitybedrijf Volexity. Wanneer de exploit succesvol is wordt de CNRig Miner geïnstalleerd, die het systeem naar cryptovaluta laat delven. In het verleden is het vaker voorgekomen dat net gepatchte Apache Struts-lekken het doelwit van aanvallen werden. Beheerders krijgen dan ook het advies om de update zo snel als mogelijk te installeren.

Reacties (18)
28-08-2018, 21:46 door Anoniem
En dan maakt iedereen zich druk over een Windows lek.... Dit zijn de echte gevaren. Blijkbaar hangen er nog steeds verouderde software aan het Internet. Gelukkig wordt dit voornamelijk in Enterprise omgevingen gebruikt. En daarbij hangen dit soort systemen nooit achter belangrijke databases.

Nee, laten we ons vooral focussen op een taskscheduler issue.
29-08-2018, 08:43 door -karma4
Door Anoniem: En dan maakt iedereen zich druk over een Windows lek....

Natuurlijk want dat wordt door de massa gebruikt. Door meestal behoorlijk digibete gebruikers die tegen zichzelf beschermd moeten worden.

Bij dit Apache Struts lek gaat het om professionele gebruikers die beter zouden moeten weten. Er is allang een patch maar die wordt blijkbaar gewoon niet geïnstalleerd. Kwalijk gedrag van de verantwoordelijke systeembeheerders of hun managers.
29-08-2018, 09:58 door Anoniem
Door The FOSS:
Door Anoniem: En dan maakt iedereen zich druk over een Windows lek....

Natuurlijk want dat wordt door de massa gebruikt. Door meestal behoorlijk digibete gebruikers die tegen zichzelf beschermd moeten worden.

Bij dit Apache Struts lek gaat het om professionele gebruikers die beter zouden moeten weten. Er is allang een patch maar die wordt blijkbaar gewoon niet geïnstalleerd. Kwalijk gedrag van de verantwoordelijke systeembeheerders of hun managers.

Dat mag wel zijn.... Maar deze servers hangen meestal direct aan het Internet en zijn dus overal over te nemen en bevatten juist connecties naar datasources die veel data bevatten. Dus uitermate interessant voor hackers.

En het grootste data lek van dit jaar komt vanuit Struts. Dus nee laten we vooral over Windows gaan lullen. Dat is veel leuker en gemakkelijker want Microsoft is slecht en Opensource is goed..
29-08-2018, 10:01 door Anoniem
We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
29-08-2018, 10:32 door Anoniem
We maken ons nu het drukst over Intel lekken... Die zijn niet te patchen zonder de performance weg te gooien.
29-08-2018, 11:01 door Anoniem
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.

Ook al zouden alle OS'en dezelfde dag nog gepatched worden, als administrator rol je dit niet de volgende dag gelijk uit.
Hoe minder tijd om te testen, hoe groter de problemen erna kunnen zijn......

Je wilt in een grote organisatie niet een patch terug gaan rollen, omdat er ergens iets breekt. Better safe than sorry.
Je loopt dus altijd achter de feiten aan met patches voor de - bekende - problemen.
29-08-2018, 11:24 door karma4
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Vergeet dat maar. Waar je over servers praat zit er een hele keten achter. Het commerciële product waar apache struts mee onder de motorkap zit wordt bij de afnemer niet als zodanig herkend.
Die kent alleen de pakket naam van die leverancier. Dan nog moet hij wachten totdat die commerciële leverancier zo ver is.

Zoek eens bij de grote leveranciers die hun documentatie op orde hebben. Ik zie Websphere Siebel Mysql monitoring, SAP BO Data services. Nu mag jij een planning maken wat de doorlooptijd zal zijn in dat soort ketens. (meer maanden en jaren dan dagen).
29-08-2018, 11:53 door -karma4
Door karma4:
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Vergeet dat maar. Waar je over servers praat zit er een hele keten achter.

Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
29-08-2018, 13:03 door karma4
Door The FOSS: ….
Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Het antwoord is niet dom.
Dom is om naar de endpoints te gaan wijzen als "het probleem" terwijl het echte probleem op server side processing zit.
Je hebt het in ieder geval niet ontkend. Wat is je oplossing voor als dat open source ingepakt in de commerciële producten die de markt beheersen?

Wat zou er gebeuren als je Linux op endpoints inzet?
Dan heet het IOT, daarvan we inmiddels het gebrek aan security besef overtuigend hebben zien misgaan. Hardcoded users/password en calling home als startpunt.
29-08-2018, 15:33 door -karma4 - Bijgewerkt: 29-08-2018, 15:34
Door karma4:
Door The FOSS: ….
Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Het antwoord is niet dom.
Dom is om naar de endpoints te gaan wijzen als "het probleem" terwijl het echte probleem op server side processing zit.

Je haalt nu posts door elkaar. Hier gaat het om Apache Struts (wat op servers draait, dus wat nou 'endpoints'?).

Door karma4: Je hebt het in ieder geval niet ontkend.

Er valt niets te ontkennen (zie hierboven).

Door karma4: Wat is je oplossing voor als dat open source ingepakt in de commerciële producten die de markt beheersen?

Wat zou er gebeuren als je Linux op endpoints inzet?

Dan werkt het zonder problemen! Vraag dat maar aan Google, Amazon, eigenlijk elke partij die ertoe doet en die Linux (op een goede manier) inzetten voor hun servers (en steeds meer ook desktops).

Door karma4: Dan heet het IOT, daarvan we inmiddels het gebrek aan security besef overtuigend hebben zien misgaan. Hardcoded users/password en calling home als startpunt.

Het is nogal dom om - nadat je er herhaaldelijk, door meerdere mensen, op bent gewezen - stug te blijven volhouden dat het 'IoT-probleem' iets met Linux te maken zou hebben. Het gaat bij IoT om luie en onkundige fabrikanten die voor een dubbeltje op de eerste rang willen zitten en nalaten om hun product deugdelijk te configureren en van een updatemechanisme te voorzien.
29-08-2018, 17:08 door Anoniem
Door The FOSS:
Door karma4:
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Vergeet dat maar. Waar je over servers praat zit er een hele keten achter.

Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Dan was er geen probleem geweest. Want dit issue is een Applicatie issue en geen Windows of Linux issue.
En het huidige TaskScheduler issue, heb je direct niet op servers, want daar werken geen gebruikers op.
Maar Windows beheerders hebben hun standaard procedures klaar liggen. Immers die weten wanneer ze aan de slag mogen. Bij Linux is het maar altijd wachten tot wanneer je de volgende (security) update krijgt en wanneer je een change windows krijgt om dit te installeren. Immers de hele organisatie moet "in eens" aan de slag voor deze update. Hierop is niet te plannen, dus mag je wachten met je update. Dit is geen gewoon standaard probleem in het bedrijfsleven.

Je vergelijking is dus appels met peren vergelijken

Door The FOSS:
Dan werkt het zonder problemen! Vraag dat maar aan Google, Amazon, eigenlijk elke partij die ertoe doet en die Linux (op een goede manier) inzetten voor hun servers (en steeds meer ook desktops).]/quote]
Dit zijn natuurlijk ook echt de standaard bedrijven. Als je dit soort zware IT wilt vergelijken met de rest van de wereld, dan sta je ver van de werkelijkheid. Je vergeet trouwens cern.....
29-08-2018, 19:04 door karma4 - Bijgewerkt: 29-08-2018, 19:14
Door The FOSS:
Door karma4: Dan heet het IOT, daarvan we inmiddels het gebrek aan security besef overtuigend hebben zien misgaan. Hardcoded users/password en calling home als startpunt.

Het is nogal dom om - nadat je er herhaaldelijk, door meerdere mensen, op bent gewezen - stug te blijven volhouden dat het 'IoT-probleem' iets met Linux te maken zou hebben. Het gaat bij IoT om luie en onkundige fabrikanten die voor een dubbeltje op de eerste rang willen zitten en nalaten om hun product deugdelijk te configureren en van een updatemechanisme te voorzien.

Het is nog dommer om niet door te hebben dat de grote commerciëlen met het open source argument en Linux is veilig.
Nu dat in hun dure omvangrijke producten stoppen waar zowat elke grote organisatie van afhankelijke is.
Als niet onderscheidend bouwsteen hebben ze dat heel goedkoop er in verweven als dubeletje voor de eerste rang.
Zullen we eens een start met dat rijtje maken... En je moet de die top van het bedrijfsleven google Apple Facebook Amazon inclusief die. Het bedrijfsleven heeft er gewoon last van, kpi's Wired Maersk gelezen?

Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.
29-08-2018, 21:14 door -karma4
Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.

Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit. Linux werkt!
30-08-2018, 09:55 door Anoniem
Door The FOSS:
Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.

Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Misschien moet je ook eens Azure / O365cijfers gaan bekijken? Ook complex. Zeker als ze je sizing bekijkt, ze zijn maar 2de grootste op de markt.

Linux werkt!
Nee de applicaties op Linux werken..... Icm met een goede configuratie en goede beheerders.
30-08-2018, 14:24 door -karma4 - Bijgewerkt: 30-08-2018, 15:00
Door Anoniem:
Door The FOSS:
Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.

Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Misschien moet je ook eens Azure / O365cijfers gaan bekijken? Ook complex. Zeker als ze je sizing bekijkt, ze zijn maar 2de grootste op de markt.

Dacht je nu werkelijk - na alle problematiek met brakkige architectuur, veiligheid, updates, e.d. - dat ik een Microsoft product zou overwegen voor de cloud?

Door Anoniem:
Linux werkt!
Nee de applicaties op Linux werken..... Icm met een goede configuratie en goede beheerders.

Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
30-08-2018, 20:36 door karma4
Door The FOSS:...
Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Daarom is IOT ook zo veilig dat er nooit wat mis gaat nooit datalekken. ahummmmm
Op servers zijn nooit data gelekt uit aamazon clouds buckets mogo db's etc. ahummmm
Een toonbeeld van onveiligheid dat moet aan het OS liggen. (ik volg jou dogma)

Juist dat dogma van geloof is een belangrijke oorzaak van alle onveiligheid
30-08-2018, 21:40 door -karma4
Door karma4:
Door The FOSS:...
Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Daarom is IOT ook zo veilig dat er nooit wat mis gaat nooit datalekken. ahummmmm

IoT is geen server.

Door karma4: Op servers zijn nooit data gelekt uit aamazon clouds buckets mogo db's etc. ahummmm

Dat heeft niets met Linux te maken.

Door karma4: Een toonbeeld van onveiligheid dat moet aan het OS liggen. (ik volg jou dogma)

Juist dat dogma van geloof is een belangrijke oorzaak van alle onveiligheid

Wartaal... En al jouw bovenstaande voorbeelden komen neer op misconfiguratie en een afwezig update mechanisme. Dus luiheid van IoT-fabrikanten en systeembeheerders (of managers die het de beheerders verbieden eraan te werken). En je raadt het al, dat heeft niets met Linux te maken! Dat in tegenstelling tot Windows, waar het zelfs bij excellente IoT-fabrikanten (gesteld dat dit bestaat, Windows in Iot-toepassingen?) en systeembeheerders helemaal misgaat! Want Windows is bagger! Een totaal achterhaalde brakkige architectuur die keer op keer voor problemen zorgt. En een traag updatemechanisme waarbij je steeds moet rebooten (zodat je niet meer aan werken toekomt). Winds, zóó 2017... #StillOnWindows?
31-08-2018, 15:30 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.

Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Misschien moet je ook eens Azure / O365cijfers gaan bekijken? Ook complex. Zeker als ze je sizing bekijkt, ze zijn maar 2de grootste op de markt.

Dacht je nu werkelijk - na alle problematiek met brakkige architectuur, veiligheid, updates, e.d. - dat ik een Microsoft product zou overwegen voor de cloud?
Jij niet. Maar de wereld is een stuk groter dan jouw denkbeeld.
Gartner puts AWS, Microsoft Azure top of its Magic Quadrant for IaaS
Blijkbaar doet Azure het niet zo slecht volgens de rest van de wereld.

Door Anoniem:
Linux werkt!
Nee de applicaties op Linux werken..... Icm met een goede configuratie en goede beheerders.

Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Office 365 does not ring a bell? Is natuurlijk ook niet zo groot.....
Het kan dus wel degenlijk. Azure draait op Windows, en office 365 Windows servers draaien ook gewoon op Azure. Ofwel misschien zou je eens verder moeten kijken? En kan dan zo maar een hele nieuwe wereld voor je open gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.