image

Equifax bevestigt dat hack via oud Apache Struts-lek plaatsvond

donderdag 14 september 2017, 10:59 door Redactie, 16 reacties
Laatst bijgewerkt: 14-09-2017, 13:18

De Amerikaanse kredietbeoordelaar Equifax waar criminelen de gegevens van 143 miljoen Amerikanen wisten te stelen kon worden gehackt omdat het een belangrijke beveiligingsupdate voor Apache Struts, die al ruim twee maanden beschikbaar was, niet had geïnstalleerd.

Apache Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties. Op 6 maart van dit jaar verscheen er een belangrijke beveiligingsupdate voor de software die een kwetsbaarheid verhielp waardoor aanvallers servers waarop Struts-applicaties draaiden konden overnemen. Een paar dagen na het uitkomen van de Struts-update werd de kwetsbaarheid al actief aangevallen. Zo gebruikten aanvallers het beveiligingslek om servers onderdeel van een botnet te maken.

Equifax, dat van Apache Struts gebruikmaakt, had de beveiligingsupdate klaarblijkelijk niet geïnstalleerd. Daardoor konden aanvallers halverwege mei toegang tot de systemen krijgen en zo de gegevens van 143 miljoen Amerikanen stelen. De datadiefstal werd op 29 juli opgemerkt. Er gingen al berichten rond dat Equifax via Apache Struts was gehackt, maar nu heeft de kredietbeoordelaar dit via de eigen website bevestigd. Begin september verscheen er een update voor een ander ernstig Struts-lek, waardoor gedacht werd dat dit mogelijk de aanvalsvector is geweest, maar Equifax laat weten dat het om het lek gaat dat al sinds begin maart van dit jaar bekend was.

Update

Ook de Apache Software Foundation heeft gereageerd en stelt dat het datalek geheel te wijten is aan het feit dat Equifax de al maanden beschikbare update niet heeft geïnstalleerd.

Reacties (16)
14-09-2017, 12:19 door Anoniem
Zo'n bedrijf hoort niet te mogen bestaan. Klaar!

TheYOSH
14-09-2017, 12:45 door Anoniem
https://news.slashdot.org/story/17/09/13/1840258/equifax-has-new-data-breach-by-hackers-using-admin-as-password


ik zou alles wat ze zeggen in de media wantrouwen :).
14-09-2017, 12:46 door Anoniem
Het is al jaren lang hetzelfde probleem en men blijft er mee weg komen zowel bij beheer als development. Daarom maar gekozen om alleen nog offensief bezig te zijn, vuln/exploit dev. Scheelt een hoop stress en is door voornoemde reden ook niet al te moeilijk. Valideren van input of checken van autorisaties wordt altijd wel ergens vergeten/slecht geimplementeerd.
14-09-2017, 13:50 door SecGuru_OTX
Wil iedereen eerst zelf even checken of ALLES binnen zijn/haar organisatie up-to-date is...
14-09-2017, 14:27 door Anoniem
Door SecGuru_OTX: Wil iedereen eerst zelf even checken of ALLES binnen zijn/haar organisatie up-to-date is...

doe ik dagelijks! inc update etc. logging the lot! maar ik realiseer me dat niet iedereen in die positie zit om dat te kunnen al is het maar omdat een OS daarin tegen kan werken en heel veel roeren en klikken met een muis op levert
14-09-2017, 23:04 door SecGuru_OTX
Door Anoniem:
Door SecGuru_OTX: Wil iedereen eerst zelf even checken of ALLES binnen zijn/haar organisatie up-to-date is...

doe ik dagelijks! inc update etc. logging the lot! maar ik realiseer me dat niet iedereen in die positie zit om dat te kunnen al is het maar omdat een OS daarin tegen kan werken en heel veel roeren en klikken met een muis op levert

Complimenten! Waren er maar meer mensen zoals u.

Ik kan de personen die bepaalde systemen niet kunnen updaten alleen maar aanbevelen om deze systemen te isoleren en daarnaast te investeren in goede IPS systemen die misbruik van kwetsbaarheden kunnen blokkeren.

Wellicht nog een tip: gebruik de waardegrafiek van de aandelen van Equifax voor je businesscase.
15-09-2017, 07:30 door karma4 - Bijgewerkt: 15-09-2017, 07:34
Door SecGuru_OTX: Wil iedereen eerst zelf even checken of ALLES binnen zijn/haar organisatie up-to-date is...
Vaak genoeg gedaan en doe ik nog steeds. Resultaat nada nada.
Te lastig / duur wegens de vele onderlinge afhankelijkheden van tools.
Niet gebudgetteerd noodzakelijk onderhoud.
Het grote succes van ds snelle implementatie wordt bedreigd.

Zeg maar: het gangbare bij grote organisaties. Aandelenkoersen helpen niet als argument. De beslissers hebben korte termijn persoonlijke visies. Hoog betaald wegens afbreukrisico met een afbreuk zijn ze elders zo weer aan de slag of krijgen intern een promotie bij faal.
.
15-09-2017, 09:17 door Anoniem
Door karma4:
Door SecGuru_OTX: Wil iedereen eerst zelf even checken of ALLES binnen zijn/haar organisatie up-to-date is...
Vaak genoeg gedaan en doe ik nog steeds. Resultaat nada nada.
Te lastig / duur wegens de vele onderlinge afhankelijkheden van tools.
Niet gebudgetteerd noodzakelijk onderhoud.
Het grote succes van ds snelle implementatie wordt bedreigd.

Zeg maar: het gangbare bij grote organisaties. Aandelenkoersen helpen niet als argument. De beslissers hebben korte termijn persoonlijke visies. Hoog betaald wegens afbreukrisico met een afbreuk zijn ze elders zo weer aan de slag of krijgen intern een promotie bij faal.
.

dan klaarblijk is het loggen checken en updaten dan te arbeidsintensief opgezet zodat het verzand. toevallig met zo een systeem te maken waarbij mensen dan de gehele dag moeten roeren klikkek en reboten terweil gewoon werk ook nog door hoort te gaan? over gereguleerd of te veel procedures? Of misschien toch ook wel verborgen kosten boven op de licenties bij de software?

stelling: iets wat geen moeite kost, wordt eigenlijk vanzelf gedaan
15-09-2017, 10:06 door [Account Verwijderd]
[Verwijderd]
15-09-2017, 13:22 door Anoniem
Wat ik nu facinerend vind is dat een iemand altijd van de information security met iso ditem en datum is en iemand heel snel een netwerk nerd of unix fan boy is, en weigert te accepteren dat een OS een onderdeel van deketen is, maar dus nu zelf toegeeft zelf een rommelomgeving te hebben:

"Vaak genoeg gedaan en doe ik nog steeds. Resultaat nada nada.
Te lastig / duur wegens de vele onderlinge afhankelijkheden van tools."

juweeltje hoor!
15-09-2017, 14:48 door SecGuru_OTX
Als het niet op orde is, schrijf een advies met een businesscase. Daarin een duidelijke beschrijving van de risico's.

Stuur dit naar de hoogste personen binnen je organisatie, vergeet alle tussenliggende managementlagen.

Alleen de hoogste personen binnen de organisatie kunnen keuzes maken mbt risico's.

Beschrijf altijd heel goed en duidelijk dat deze personen eindverantwoordelijk zijn, en niemand anders!

Raad van bestuur, directeuren, ministers, etc, etc, hebben geen idee wat de risico's zijn, en alle managementlagen ertussen zijn vaak te bang/lui om extra werk te verzetten.

Een goede informatiebeveiliging begint bij jezelf! Zorg dat je je zaken op orde hebt door de risico's bij de juiste personen te beleggen.
15-09-2017, 20:47 door karma4 - Bijgewerkt: 15-09-2017, 20:49
Door Neb Poorten:
Ik hoop voor jou dat je dit hebt gemeld bij bv. de autoriteit persoonsgegevens. Bij problemen ben je persoonlijk aansprakelijk als je er weet van had (en dat heb je, zoals je hier verkondigt).
--
Karma is a bitch
Nope als loonlijst medewerker inhuur heb ik enkele een adviserende rol. voor zaken die niet wettelijk compleet fout / levensbedreigend zijn. Ach als je het AP kent de situatie kent en meemaak is het echt vermaak. Yup van nabij en dat op een heel andere wijze dan jij kan bevroeden.

Door Anoniem: Wat ik nu facinerend vind is dat een iemand altijd van de information security met iso ditem en datum is en iemand heel snel een netwerk nerd of unix fan boy is, en weigert te accepteren dat een OS een onderdeel van deketen is, maar dus nu zelf toegeeft zelf een rommelomgeving te hebben:
..
juweeltje hoor!
De rommelomgeving ontstaat bij de nerds en doosjesschuivers. Als je iets verder in de keten met integratie van de spullen zit kun je aan die rommel weinig meer doen. Alleen dat deel waar je zelf invloed op kunt hebben om te veranderen.
Cirkel of control infulence concern Covey: http://www.celestinevision.com/2015/09/personal-development/superpowers-part-2-sorting-the-pile/


Door SecGuru_OTX: Als het niet op orde is, schrijf een advies met een businesscase. Daarin een duidelijke beschrijving van de risico's.

Stuur dit naar de hoogste personen binnen je organisatie, vergeet alle tussenliggende managementlagen.

Alleen de hoogste personen binnen de organisatie kunnen keuzes maken mbt risico's.

Beschrijf altijd heel goed en duidelijk dat deze personen eindverantwoordelijk zijn, en niemand anders!

Raad van bestuur, directeuren, ministers, etc, etc, hebben geen idee wat de risico's zijn, en alle managementlagen ertussen zijn vaak te bang/lui om extra werk te verzetten.

Een goede informatiebeveiliging begint bij jezelf! Zorg dat je je zaken op orde hebt door de risico's bij de juiste personen te beleggen.
Dat is nu precies wat er aan de hand is. thanks SecGuru_OTX.
Het gevolg van je adviezen is tevens dat je niet met de geld verdelerij mag meedoen want te lastig. Het zij zo.
16-09-2017, 09:20 door [Account Verwijderd] - Bijgewerkt: 19-09-2017, 12:11
[Verwijderd]
16-09-2017, 13:02 door Anoniem
"De rommelomgeving ontstaat bij de nerds en doosjesschuivers."


quod erat demonstrandum
17-09-2017, 11:11 door Anoniem
Door Anoniem: Wat ik nu facinerend vind is dat een iemand altijd van de information security met iso ditem en datum is en iemand heel snel een netwerk nerd of unix fan boy is, en weigert te accepteren dat een OS een onderdeel van deketen is, maar dus nu zelf toegeeft zelf een rommelomgeving te hebben
OS is maar een heel klein onderdeel van de de keten. Sterker nog, in een goede architectuur, merkt de gebruiker er helemaal niets van, aangezien alleen de benodigde porten openstaan. Het OS is dus maar een heel klein onderdeel in de keten.

"Vaak genoeg gedaan en doe ik nog steeds. Resultaat nada nada.
Kan zowel in een goede als slechte omgeving gemeld worden.

Te lastig / duur wegens de vele onderlinge afhankelijkheden van tools."
Dat betekend dat ergens anders het probleem zit. En niet direct bij een OS beheerder.
17-09-2017, 14:43 door Anoniem
"OS is maar een heel klein onderdeel van de de keten. Sterker nog, in een goede architectuur, merkt de gebruiker er helemaal niets van, aangezien alleen de benodigde porten openstaan. Het OS is dus maar een heel klein onderdeel in de keten."

een schakel, maar niet te verwaarlozen of weg te elimineren (vaak de zwakke) schakel.

vergeet niet de bugs en exploits vinden toch echt op de dozen (en dus OS) plaats.

dus als je een OS hebt dat nagenoeg geen belasting of werk oplevert om dagelijks te updaten vrijwel automatisch, dan ga je een andere dynamiek krijgen in je gehele keten dan als je os hebt dat drie uur patches download, je een klik safarie moet uitvoeren, moet rebooten en daarna allerlij instellingen (sinds de laatste grap bijv) op zweeds heeft gezet.

efin, wat dus een kleine onbelangrijke schakel HAD moeten wezen is dat niet altijd. daarmee dus concluderende dat je die schakel als security minded persoon HEEL DUIDELIJK EN BEWUST op je radar MOET hebben en niet wegbagataliseren door te stellen dat nerds zitten te spelen etc. etc. etc.

kijk ik ben niet anti MS of perse een unix fanboy, maar ik zie en merk zelf ook een duidelijk verschil in beheer belasting en erken dat dat gevolg kan hebben (omdat je in de keten zit) voor security. ik vind dus dat je de tool for the job moet gebruiken en vooral ook je tools tegen het licht moet houden. ook al had architectuur of iemand hoger in de laag bedacht dat dingen OS onafhankelijk hadden moeten zijn. ze zijn dat in de praktijk gewoonweg niet. dat is erg naief denken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.