Ernstig beveiligingslek in Apache Struts actief aangevallen
Een ernstig beveiligingslek in Apache Struts waarvoor vorige week een update verscheen wordt nu actief aangevallen en gebruikt voor het infecteren van kwetsbare servers met een cryptominer. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties.
Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts zijn gemaakt. Op 22 augustus verscheen er een beveiligingsupdate van de Apache Foundation voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller kwetsbare servers overnemen. Een dag na het verschijnen van de update publiceerde een onderzoeker een proof-of-concept-exploit die van de kwetsbaarheid misbruik maakt.
Inmiddels is de exploit door cybercriminelen gebruikt om kwetsbare systemen aan te vallen en infecteren, zo meldt securitybedrijf Volexity. Wanneer de exploit succesvol is wordt de CNRig Miner geïnstalleerd, die het systeem naar cryptovaluta laat delven. In het verleden is het vaker voorgekomen dat net gepatchte Apache Struts-lekken het doelwit van aanvallen werden. Beheerders krijgen dan ook het advies om de update zo snel als mogelijk te installeren.
Reacties (18)
En dan maakt iedereen zich druk over een Windows lek.... Dit zijn de echte gevaren. Blijkbaar hangen er nog steeds verouderde software aan het Internet. Gelukkig wordt dit voornamelijk in Enterprise omgevingen gebruikt. En daarbij hangen dit soort systemen nooit achter belangrijke databases.
Nee, laten we ons vooral focussen op een taskscheduler issue.
Nee, laten we ons vooral focussen op een taskscheduler issue.
29-08-2018, 08:43 door
-karma4
Door Anoniem: En dan maakt iedereen zich druk over een Windows lek....
Natuurlijk want dat wordt door de massa gebruikt. Door meestal behoorlijk digibete gebruikers die tegen zichzelf beschermd moeten worden.
Bij dit Apache Struts lek gaat het om professionele gebruikers die beter zouden moeten weten. Er is allang een patch maar die wordt blijkbaar gewoon niet geïnstalleerd. Kwalijk gedrag van de verantwoordelijke systeembeheerders of hun managers.
Door The FOSS:
Natuurlijk want dat wordt door de massa gebruikt. Door meestal behoorlijk digibete gebruikers die tegen zichzelf beschermd moeten worden.
Bij dit Apache Struts lek gaat het om professionele gebruikers die beter zouden moeten weten. Er is allang een patch maar die wordt blijkbaar gewoon niet geïnstalleerd. Kwalijk gedrag van de verantwoordelijke systeembeheerders of hun managers.
Door Anoniem: En dan maakt iedereen zich druk over een Windows lek....
Natuurlijk want dat wordt door de massa gebruikt. Door meestal behoorlijk digibete gebruikers die tegen zichzelf beschermd moeten worden.
Bij dit Apache Struts lek gaat het om professionele gebruikers die beter zouden moeten weten. Er is allang een patch maar die wordt blijkbaar gewoon niet geïnstalleerd. Kwalijk gedrag van de verantwoordelijke systeembeheerders of hun managers.
Dat mag wel zijn.... Maar deze servers hangen meestal direct aan het Internet en zijn dus overal over te nemen en bevatten juist connecties naar datasources die veel data bevatten. Dus uitermate interessant voor hackers.
En het grootste data lek van dit jaar komt vanuit Struts. Dus nee laten we vooral over Windows gaan lullen. Dat is veel leuker en gemakkelijker want Microsoft is slecht en Opensource is goed..
We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
We maken ons nu het drukst over Intel lekken... Die zijn niet te patchen zonder de performance weg te gooien.
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Ook al zouden alle OS'en dezelfde dag nog gepatched worden, als administrator rol je dit niet de volgende dag gelijk uit.
Hoe minder tijd om te testen, hoe groter de problemen erna kunnen zijn......
Je wilt in een grote organisatie niet een patch terug gaan rollen, omdat er ergens iets breekt. Better safe than sorry.
Je loopt dus altijd achter de feiten aan met patches voor de - bekende - problemen.
29-08-2018, 11:24 door
karma4
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Vergeet dat maar. Waar je over servers praat zit er een hele keten achter. Het commerciële product waar apache struts mee onder de motorkap zit wordt bij de afnemer niet als zodanig herkend.Die kent alleen de pakket naam van die leverancier. Dan nog moet hij wachten totdat die commerciële leverancier zo ver is.
Zoek eens bij de grote leveranciers die hun documentatie op orde hebben. Ik zie Websphere Siebel Mysql monitoring, SAP BO Data services. Nu mag jij een planning maken wat de doorlooptijd zal zijn in dat soort ketens. (meer maanden en jaren dan dagen).
29-08-2018, 11:53 door
-karma4
Door karma4:
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Vergeet dat maar. Waar je over servers praat zit er een hele keten achter.Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
29-08-2018, 13:03 door
karma4
Door The FOSS: ….
Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Het antwoord is niet dom. Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Dom is om naar de endpoints te gaan wijzen als "het probleem" terwijl het echte probleem op server side processing zit.
Je hebt het in ieder geval niet ontkend. Wat is je oplossing voor als dat open source ingepakt in de commerciële producten die de markt beheersen?
Wat zou er gebeuren als je Linux op endpoints inzet?
Dan heet het IOT, daarvan we inmiddels het gebrek aan security besef overtuigend hebben zien misgaan. Hardcoded users/password en calling home als startpunt.
Door karma4:
Dom is om naar de endpoints te gaan wijzen als "het probleem" terwijl het echte probleem op server side processing zit.
Door The FOSS: ….
Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Het antwoord is niet dom. Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Dom is om naar de endpoints te gaan wijzen als "het probleem" terwijl het echte probleem op server side processing zit.
Je haalt nu posts door elkaar. Hier gaat het om Apache Struts (wat op servers draait, dus wat nou 'endpoints'?).
Door karma4: Je hebt het in ieder geval niet ontkend.
Er valt niets te ontkennen (zie hierboven).
Door karma4: Wat is je oplossing voor als dat open source ingepakt in de commerciële producten die de markt beheersen?
Wat zou er gebeuren als je Linux op endpoints inzet?
Wat zou er gebeuren als je Linux op endpoints inzet?
Dan werkt het zonder problemen! Vraag dat maar aan Google, Amazon, eigenlijk elke partij die ertoe doet en die Linux (op een goede manier) inzetten voor hun servers (en steeds meer ook desktops).
Door karma4: Dan heet het IOT, daarvan we inmiddels het gebrek aan security besef overtuigend hebben zien misgaan. Hardcoded users/password en calling home als startpunt.
Het is nogal dom om - nadat je er herhaaldelijk, door meerdere mensen, op bent gewezen - stug te blijven volhouden dat het 'IoT-probleem' iets met Linux te maken zou hebben. Het gaat bij IoT om luie en onkundige fabrikanten die voor een dubbeltje op de eerste rang willen zitten en nalaten om hun product deugdelijk te configureren en van een updatemechanisme te voorzien.
Door The FOSS:
Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
Dan was er geen probleem geweest. Want dit issue is een Applicatie issue en geen Windows of Linux issue. Door karma4:
Door Anoniem: We maken ons over alle lekken druk. Punt is alleen dat algemeen Linux en Mac lekken sneller gepatcht worden dan Windows lekken.
Vergeet dat maar. Waar je over servers praat zit er een hele keten achter.Beetje dom antwoord karma4: wat denk je dat er zou gebeuren als er Windows in plaats van Linux op al die servers zou draaien? Juist, dan was de ellende niet te overzien!
En het huidige TaskScheduler issue, heb je direct niet op servers, want daar werken geen gebruikers op.
Maar Windows beheerders hebben hun standaard procedures klaar liggen. Immers die weten wanneer ze aan de slag mogen. Bij Linux is het maar altijd wachten tot wanneer je de volgende (security) update krijgt en wanneer je een change windows krijgt om dit te installeren. Immers de hele organisatie moet "in eens" aan de slag voor deze update. Hierop is niet te plannen, dus mag je wachten met je update. Dit is geen gewoon standaard probleem in het bedrijfsleven.
Je vergelijking is dus appels met peren vergelijken
Door The FOSS:
Dan werkt het zonder problemen! Vraag dat maar aan Google, Amazon, eigenlijk elke partij die ertoe doet en die Linux (op een goede manier) inzetten voor hun servers (en steeds meer ook desktops).]/quote]
Dit zijn natuurlijk ook echt de standaard bedrijven. Als je dit soort zware IT wilt vergelijken met de rest van de wereld, dan sta je ver van de werkelijkheid. Je vergeet trouwens cern.....
Dan werkt het zonder problemen! Vraag dat maar aan Google, Amazon, eigenlijk elke partij die ertoe doet en die Linux (op een goede manier) inzetten voor hun servers (en steeds meer ook desktops).]/quote]
Dit zijn natuurlijk ook echt de standaard bedrijven. Als je dit soort zware IT wilt vergelijken met de rest van de wereld, dan sta je ver van de werkelijkheid. Je vergeet trouwens cern.....
Door The FOSS:
Het is nogal dom om - nadat je er herhaaldelijk, door meerdere mensen, op bent gewezen - stug te blijven volhouden dat het 'IoT-probleem' iets met Linux te maken zou hebben. Het gaat bij IoT om luie en onkundige fabrikanten die voor een dubbeltje op de eerste rang willen zitten en nalaten om hun product deugdelijk te configureren en van een updatemechanisme te voorzien.
Door karma4: Dan heet het IOT, daarvan we inmiddels het gebrek aan security besef overtuigend hebben zien misgaan. Hardcoded users/password en calling home als startpunt.
Het is nogal dom om - nadat je er herhaaldelijk, door meerdere mensen, op bent gewezen - stug te blijven volhouden dat het 'IoT-probleem' iets met Linux te maken zou hebben. Het gaat bij IoT om luie en onkundige fabrikanten die voor een dubbeltje op de eerste rang willen zitten en nalaten om hun product deugdelijk te configureren en van een updatemechanisme te voorzien.
Het is nog dommer om niet door te hebben dat de grote commerciëlen met het open source argument en Linux is veilig.
Nu dat in hun dure omvangrijke producten stoppen waar zowat elke grote organisatie van afhankelijke is.
Als niet onderscheidend bouwsteen hebben ze dat heel goedkoop er in verweven als dubeletje voor de eerste rang.
Zullen we eens een start met dat rijtje maken... En je moet de die top van het bedrijfsleven google Apple Facebook Amazon inclusief die. Het bedrijfsleven heeft er gewoon last van, kpi's Wired Maersk gelezen?
Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.
29-08-2018, 21:14 door
-karma4
Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit. Linux werkt!
Door The FOSS:
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Misschien moet je ook eens Azure / O365cijfers gaan bekijken? Ook complex. Zeker als ze je sizing bekijkt, ze zijn maar 2de grootste op de markt.Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Linux werkt!
Nee de applicaties op Linux werken..... Icm met een goede configuratie en goede beheerders.Door Anoniem:
Door The FOSS:
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Misschien moet je ook eens Azure / O365cijfers gaan bekijken? Ook complex. Zeker als ze je sizing bekijkt, ze zijn maar 2de grootste op de markt.Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Dacht je nu werkelijk - na alle problematiek met brakkige architectuur, veiligheid, updates, e.d. - dat ik een Microsoft product zou overwegen voor de cloud?
Door Anoniem:
Linux werkt!
Nee de applicaties op Linux werken..... Icm met een goede configuratie en goede beheerders.Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
30-08-2018, 20:36 door
karma4
Door The FOSS:...
Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Daarom is IOT ook zo veilig dat er nooit wat mis gaat nooit datalekken. ahummmmm Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Op servers zijn nooit data gelekt uit aamazon clouds buckets mogo db's etc. ahummmm
Een toonbeeld van onveiligheid dat moet aan het OS liggen. (ik volg jou dogma)
Juist dat dogma van geloof is een belangrijke oorzaak van alle onveiligheid
30-08-2018, 21:40 door
-karma4
Door karma4:
Door The FOSS:...
Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Daarom is IOT ook zo veilig dat er nooit wat mis gaat nooit datalekken. ahummmmm Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
IoT is geen server.
Door karma4: Op servers zijn nooit data gelekt uit aamazon clouds buckets mogo db's etc. ahummmm
Dat heeft niets met Linux te maken.
Door karma4: Een toonbeeld van onveiligheid dat moet aan het OS liggen. (ik volg jou dogma)
Juist dat dogma van geloof is een belangrijke oorzaak van alle onveiligheid
Juist dat dogma van geloof is een belangrijke oorzaak van alle onveiligheid
Wartaal... En al jouw bovenstaande voorbeelden komen neer op misconfiguratie en een afwezig update mechanisme. Dus luiheid van IoT-fabrikanten en systeembeheerders (of managers die het de beheerders verbieden eraan te werken). En je raadt het al, dat heeft niets met Linux te maken! Dat in tegenstelling tot Windows, waar het zelfs bij excellente IoT-fabrikanten (gesteld dat dit bestaat, Windows in Iot-toepassingen?) en systeembeheerders helemaal misgaat! Want Windows is bagger! Een totaal achterhaalde brakkige architectuur die keer op keer voor problemen zorgt. En een traag updatemechanisme waarbij je steeds moet rebooten (zodat je niet meer aan werken toekomt). Winds, zóó 2017... #StillOnWindows?
Door The FOSS:
Dacht je nu werkelijk - na alle problematiek met brakkige architectuur, veiligheid, updates, e.d. - dat ik een Microsoft product zou overwegen voor de cloud?
Jij niet. Maar de wereld is een stuk groter dan jouw denkbeeld. Door Anoniem:
Door The FOSS:
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Misschien moet je ook eens Azure / O365cijfers gaan bekijken? Ook complex. Zeker als ze je sizing bekijkt, ze zijn maar 2de grootste op de markt.Door karma4: Neem google die hebben dashboards voor totale outage enkel voor cloud https://status.cloud.google.com/summary die 1805 is een leuke. Dan hebben we het niet eens over specifieke gevallen bij een klant.
Hele goede cijfers inderdaad! Voor een product van een dergelijke complexiteit.
Dacht je nu werkelijk - na alle problematiek met brakkige architectuur, veiligheid, updates, e.d. - dat ik een Microsoft product zou overwegen voor de cloud?
Gartner puts AWS, Microsoft Azure top of its Magic Quadrant for IaaS
Blijkbaar doet Azure het niet zo slecht volgens de rest van de wereld.
Door Anoniem:
Linux werkt!
Nee de applicaties op Linux werken..... Icm met een goede configuratie en goede beheerders.Linux werkt en de applicaties op Linux werken daardoor ook! Dat zou onder Windows op de server gewoonweg niet kunnen. Daarom gebruikt geen hond Windows op de server.
Het kan dus wel degenlijk. Azure draait op Windows, en office 365 Windows servers draaien ook gewoon op Azure. Ofwel misschien zou je eens verder moeten kijken? En kan dan zo maar een hele nieuwe wereld voor je open gaan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
