‘Kwetsbaarheid in Apache Struts misbruikt bij aanval op Equifax’
Equifax is vermoedelijk aangevallen via een kwetsbaarheid in het Apache Struts Web Framework. Het is echter niet duidelijk om welke kwetsbaarheid het precies gaat.
Dit melden onderzoekers van Baird Equity Research in een onderzoeksrapport (pdf). Equifax maakte onlangs bekend getroffen te zijn door een grootschalig datalek, waarbij gegevens van 143 miljoen klanten zijn uitgelekt. De onderzoekers stellen dat hierbij misbruik is gemaakt van een kwetsbaarheid in Apache Struts, een populair open-source programmeerraamwerk voor het bouwen van Java-applicaties.
CVE-2017-5638 of CVE-2017-9805?
Het is niet duidelijk om welke kwetsbaarheid het gaat. Het kan om een zero-day kwetsbaarheid gaan die ten tijde van de aanval niet bekend was en dus niet via een software-update gedicht kon worden. Het is echter ook mogelijk dat Equifax Apache Struts niet up-to-date heeft gehouden en is aangevallen via een kwetsbaarheid die eerder door The Apache Software Foundation is gedicht.
Zo zijn dit jaar twee ernstige kwetsbaarheden in Apache Struts gedicht, die konden worden misbruikt om servers over te nemen waarop Apache Struts-gebaseerde applicaties draaien. Het gaat hierbij om CVE-2017-5638 die in maart werd gedicht en om CVE-2017-9805 die in september is gepatched.
‘Iedere complexe software bevat kwetsbaarheden’
The Apache Software Foundation laat in een reactie weten dat iedere complexe software kwetsbaarheden bevat en bedrijven dan ook nooit hun beveiligingsbeleid zouden moeten baseren op de aanname dat gebruikte softwareproducten geen fouten bevatten. Het is volgens de stichting dan ook altijd noodzakelijk aanvullende beveiligingsmaatregelen te nemen om te voorkomen dat een kwetsbaarheid in een openbare laag zoals het Apache Struts raamwerk ertoe kan leiden dat aanvallers toegang krijgen tot informatie op de back-end. Ook adviseert The Apache Software Foundation monitoring te gebruiken om ongebruikelijke activiteiten tijdig op te sporen.
Daarnaast wijst The Apache Software Foundation op het belang software up-to-date te houden en adviseert bedrijven dan ook een proces op te richten waarmee beveiligingsupdate snel kunnen worden geïmplementeerd. De stichting benadrukt dat updates binnen enkele uren of maximaal enkele dagen geïnstalleerd dienen te worden, en niet na enkele weken of zelfs maanden.
Meer over
Lees ook
'Cybersecurity roer moet om'
De beveiliging van Internet is zo lek als een mandje. Als gevolg daarvan kunnen cybercriminelen banken digitaal beroven, bedrijven en ziekenhuizen gijzelen voor losgeld en webservices platleggen met een DDoS-aanval. Vrijwel dagelijks worden mensen geconfronteerd met securityincidenten. Dat zal met de ontwikkeling van het ‘Internet-of-Things’ en ‘S1
'Bestuurders moeten meer aandacht besteden aan beveiliging van IoT'
De beveiliging van slimme apparaten die met het internet zijn verbonden, staat te weinig op het netvlies van bestuurders. Nu investeert een minderheid (46%) in de beveiliging van deze zogenoemde Internet of Things-apparaten. Daarmee valt het buiten de top-5 van investeringsgebieden rondom cybersecurity. Dat zegt Gerwin Naber, verantwoordelijk voor1
Cybersecurity experts willen oorlog tussen privacy en security beeïndigen
Een groep cybersecurity experts verenigt hun krachten en wil in discussie gaan met overheidsfunctionarissen om de oorlog tussen privacy en security te beëindigen. Via het Digital Equilibrium Project willen de experts een productief dialoog opzetten over de balans tussen beveiliging en privacy in een verbonden wereld. Het Digital Equilibrium Projec1