‘Kwetsbaarheid in Apache Struts misbruikt bij aanval op Equifax’

Equifax is vermoedelijk aangevallen via een kwetsbaarheid in het Apache Struts Web Framework. Het is echter niet duidelijk om welke kwetsbaarheid het precies gaat.

Dit melden onderzoekers van Baird Equity Research in een onderzoeksrapport (pdf). Equifax maakte onlangs bekend getroffen te zijn door een grootschalig datalek, waarbij gegevens van 143 miljoen klanten zijn uitgelekt. De onderzoekers stellen dat hierbij misbruik is gemaakt van een kwetsbaarheid in Apache Struts, een populair open-source programmeerraamwerk voor het bouwen van Java-applicaties.

CVE-2017-5638 of CVE-2017-9805?

Het is niet duidelijk om welke kwetsbaarheid het gaat. Het kan om een zero-day kwetsbaarheid gaan die ten tijde van de aanval niet bekend was en dus niet via een software-update gedicht kon worden. Het is echter ook mogelijk dat Equifax Apache Struts niet up-to-date heeft gehouden en is aangevallen via een kwetsbaarheid die eerder door The Apache Software Foundation is gedicht.

Zo zijn dit jaar twee ernstige kwetsbaarheden in Apache Struts gedicht, die konden worden misbruikt om servers over te nemen waarop Apache Struts-gebaseerde applicaties draaien. Het gaat hierbij om CVE-2017-5638 die in maart werd gedicht en om CVE-2017-9805 die in september is gepatched.

‘Iedere complexe software bevat kwetsbaarheden’

The Apache Software Foundation laat in een reactie weten dat iedere complexe software kwetsbaarheden bevat en bedrijven dan ook nooit hun beveiligingsbeleid zouden moeten baseren op de aanname dat gebruikte softwareproducten geen fouten bevatten. Het is volgens de stichting dan ook altijd noodzakelijk aanvullende beveiligingsmaatregelen te nemen om te voorkomen dat een kwetsbaarheid in een openbare laag zoals het Apache Struts raamwerk ertoe kan leiden dat aanvallers toegang krijgen tot informatie op de back-end. Ook adviseert The Apache Software Foundation monitoring te gebruiken om ongebruikelijke activiteiten tijdig op te sporen.

Daarnaast wijst The Apache Software Foundation op het belang software up-to-date te houden en adviseert bedrijven dan ook een proces op te richten waarmee beveiligingsupdate snel kunnen worden geïmplementeerd. De stichting benadrukt dat updates binnen enkele uren of maximaal enkele dagen geïnstalleerd dienen te worden, en niet na enkele weken of zelfs maanden.