Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев

Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек были похищены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД.

В отчете компании William Baird & Co. утверждается, что взлом был совершен через уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом мог произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный доступ к системе. Не уточняется была эксплуатирована раскрытая несколько дней назад критическая уязвимость (CVE-2017-9805) или уязвимость, выявленная в марте (CVE-2017-5638),. Обе проблемы позволяют выполнить свой код на сервере, при этом если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удаленной атаки может быть получен доступ с правами root.

Фонд Apache опубликовал заявление, в котором пояснил свою позицию по поводу взлома. Так как атака произошла с мая по июль, для проникновения наиболее вероятно использовалась мартовская уязвимость, в этом случае серверы Equifax несколько месяцев заведомо продолжали использовать уязвимую версию Apache Struts, несмотря на начавшуюся волну атак и предупреждения о необходимости оперативного обновления. Если атака была совершена в при помощи сентябрьской уязвимости, то об этой уязвимости в мае-июле еще не было известно и атакующие должны были сами ее обнаружить или воспользоваться неизвестным 0-day эксплоитом. Манипуляции информацией о том, что сентябрьская уязвимость вызвана ошибкой, которая находится в коде уже 9 лет, неуместны, так как большая разница между выявлением ранее неизвестной ошибки и знанием о наличии неисправленной ошибки.

В качестве рекомендаций по обеспечению безопасности своей инфраструктуры Фонд Apache указал на необходимость соблюдения следующих правил:

• Отслеживание сведений об уязвимостях и новых версиях применяемых фреймворков и библиотек.
  
  
• Налаживание процесса оперативной установки обновлений с устранением уязвимостей - уязвимости должны устраняться за часы или несколько дней, но не спустя недели и месяцы. 3.
  
  
• Готовность к тому, что любые сложные программные системы потенциально могут содержать уязвимости. Инфраструктура изначально не должна полагаться не то, что применяемое ПО безопасно;
• Применение нескольких уровней защиты для публично доступных сервисов и отделение таких сервисов от внутренних систем и БД транзитными прослойками. Уязвимости во внешнем интерфейсе не должны приводить к компрометации бэкенда;
• Внедрение система мониторинга и выявления аномалий для выявления необычной активности при доступе к web-ресурсам.

Также можно отметить, что для проверки утечки данных пользователей в результате инцидента от имени Equifax был создан сайт equifaxsecurity2017.com, который предлагал ввести фамилию и большую часть номера социального страхования для определения степени утечки сведений о конкретном человеке. Сайт вызвал подозрения в проведении фишинга и даже был заблокирован службой OpenDNS. Субъективно об этом свидетельствовало использование типового движка WordPress, запрос фамилии и большей части номера социального страхования, регистрация доменного имени на стороннее лицо и использование TLS-сертификата бесплатного HTTPS-сервиса Cloudflare.