Onderzoekers: Equifax gehackt via Apache Struts-lek
De Amerikaanse kredietbeoordelaar Equifax is gehackt via een beveiligingslek in Apache Struts, zo claimen onderzoekers van onderzoeksbureau Baird Equity (pdf). Het is echter onbekend om welk lek het precies gaat. Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties.
Het is een zeer populair platform voor ontwikkelaars. Volgens een industrie-analist maakt 65 procent van de Fortune 500-ondernemingen gebruik van Apache Struts. Dit jaar zijn er twee ernstige kwetsbaarheden in Struts gepatcht die hackers hebben gebruikt om servers waarop Struts-applicaties draaien over te nemen. De eerste kwetsbaarheid werd op 6 maart gepatcht, de tweede deze week, op 4 september. De hack bij Equifax vond halverwege mei plaats en werd op 29 juli ontdekt. Aanvallers wisten de gegevens van 143 miljoen Amerikanen te stelen.
De vraag is nu of Equifax de Struts-update van maart niet heeft geïnstalleerd en zo werd gehackt of dat dit via een zeroday-exploit gebeurde waar op het moment van de aanval nog geen update voor beschikbaar was. Kort na het verschijnen van de maart-update werden Struts-servers die de patch niet hadden geïnstalleerd actief aangevallen en onderdeel van een botnet gemaakt. Een scenario dat zich deze week herhaalde. 48 uur na het uitkomen van de september-update werden de eerste aanvallen waargenomen die tegen het net gepatchte lek waren gericht.
De Apache Software Foundation heeft nu gereageerd op het bericht dat Equifax via een Struts-kwetsbaarheid gehackt zou zijn. Volgens René Gielen, vice-president van Apache Struts, bevat alle complexe software kwetsbaarheden. Organisaties moeten dan ook geen beveiligingsbeleid baseren op de aanname dat softwareproducten foutloos zijn. Het is daarom belangrijk aanvullende beveiligingsmaatregelen te implementeren, zoals meerdere beveiligingslagen en monitoring, en ervoor zorgen dat patches snel worden uitgerold, aldus Gielen. "Deze aanbevelingen helpen om datalekken zoals die bij Equifax te voorkomen."
Bij een goed geimplementeerde Web Applicatie Firewall had de aanval niet geleid tot de huidige impact. Maar dat komt omdat er veel te veel auditors rondlopen met het IQ van een muis op security vlak. Deze situatie dat ze allerlei bagger goed keuren volgens de kwaliteitseisen van ISO 27000 / Cobit leidt erto dat de echte security problemen NIET opgelost worden. Omdat de werkelijke oorzaken die leiden tot dergelijke rampen in feite NIET worden geadreseerd dergelijke frameworks. Dus is de oplossing simpel. Vergeet ak die BS certificeringen die achterlijke hoeveelheden geld kosten en huur een echte security architect in die je helpt om ECHTE security maatregelen te nemen die werken. Alleen dan ga je dit soort fiasco's een halt toeroepen.
Bij een goed geimplementeerde Web Applicatie Firewall had de aanval niet geleid tot de huidige impact. Maar dat komt omdat er veel te veel auditors rondlopen met het IQ van een muis op security vlak. Deze situatie dat ze allerlei bagger goed keuren volgens de kwaliteitseisen van ISO 27000 / Cobit leidt erto dat de echte security problemen NIET opgelost worden. Omdat de werkelijke oorzaken die leiden tot dergelijke rampen in feite NIET worden geadreseerd dergelijke frameworks. Dus is de oplossing simpel. Vergeet ak die BS certificeringen die achterlijke hoeveelheden geld kosten en huur een echte security architect in die je helpt om ECHTE security maatregelen te nemen die werken. Alleen dan ga je dit soort fiasco's een halt toeroepen.
Amen!
Helemaal mee eens.
Gebruik je budget voor Pentesten, Architectuur, Bug Bounty, Ethical Hackers, Vulnerability Management en Best in Class producten ipv voor al die nutteloze certificeringen.
Bedrijven en organisaties die zeggen dat ze veilig zijn omdat ze gecertificeerd zijn, zouden niet met het Internet verbonden moeten zijn.
aangenomen door iemand die natuurlijk VELE MALE slimmer is ?
aangenomen door iemand die natuurlijk VELE MALE slimmer is ?
Ja dat is vaak zo. Domme mensen kunnen (helaas) niet goed realiseren dat er slimmere zijn. En slimmere weten dat veel beter. Het is ook gewoon ook de evolutie, 20%/15% (5%? :() is gewoon slimmer dan de rest. Daarom is democratie ook helemaal niet zo goed. Dat gaat immers uit van wat de grootste groep wil. Dat is nooit een goed uitgangspunt geweest, ik heb liever dat een slimme minderheid beslist, dan de domme massa.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.