Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев

10 сентября 2017 года

Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД.

В отчёте компании William Baird & Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом мог произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный доступ к системе. Не уточняется была эксплуатирована раскрытая несколько дней назад критическая уязвимость (CVE-2017-9805) или уязвимость, выявленная в марте (CVE-2017-5638). Обе проблемы позволяют выполнить свой код на сервере, при этом если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.

Фонд Apache опубликовал заявление, в котором пояснил свою позицию по поводу взлома. Так как атака произошла с мая по июль, для проникновения наиболее вероятно использовалась мартовская уязвимость, в этом случае серверы Equifax несколько месяцев заведомо продолжали использовать уязвимую версию Apache Struts, несмотря на начавшуюся волну атак и предупреждения о необходимости оперативного обновления. Если атака была совершена при помощи сентябрьской уязвимости, то об этой уязвимости в мае-июле ещё не было известно и атакующие должны были сами её обнаружить или воспользоваться неизвестным 0-day эксплоитом.

Манипуляции информацией о том, что сентябрьская уязвимость вызвана ошибкой, которая находится в коде уже 9 лет, неуместны, так как есть большая разница между выявлением ранее неизвестной ошибки и знанием о наличии неисправленной ошибки. В случае Apache Struts проблема была устранена сразу после появления сведений об её наличии (о проблеме в приватном характере было сообщено 17 июля, обновление с исправлением вышло 5 сентября, в тот же день выявившие проблему исследователи публично обнародовали данные об уязвимости).

В качестве рекомендаций по обеспечению безопасности своей инфраструктуры Фонд Apache указал на необходимость соблюдения следующих правил:

• Отслеживание сведений об уязвимостях и новых версиях применяемых фреймворков и библиотек.
• Налаживание процесса оперативной установки обновлений с устранением уязвимостей - уязвимости должны устраняться за часы или считанные дни, но не спустя недели и месяцы.
• Готовность к тому, что любые сложные программные системы потенциально могут содержать уязвимости. Инфраструктура изначально не должна полагаться на то, что применяемое ПО безопасно.
• Применение нескольких уровней защиты для публично доступных сервисов и отделение таких сервисов от внутренних систем и БД транзитными прослойками. Уязвимости во внешнем интерфейсе не должны приводить к компрометации бэкенда.
• Внедрение систем мониторинга и выявления аномалий для определения необычной активности при доступе к web-ресурсам.

Также можно отметить, что для проверки утечки данных пользователей в результате инцидента от имени Equifax был создан сайт equifaxsecurity2017.com, который предлагал ввести фамилию и 6 из 9 знаков номера социального страхования для определения степени утечки сведений о конкретном человеке. Сайт вызвал подозрения в проведении фишинга и даже был заблокирован службой OpenDNS. Субъективно о фишинге свидетельствовало использование типового движка WordPress, запрос персональных данных, регистрация доменного имени на стороннее лицо и использование TLS-сертификата бесплатного HTTPS-сервиса Cloudflare.