近日,各大网站都报道了黑客从征信企业 Equifax窃取了 1.43 亿美国人的详细个人信息,事件相关报导表明 Apache Struts框架存在安全漏洞。
Struts 是一种开源的 MVC 框架,用于创建基于 Java 的 Web 应用。它几乎曾是 Java Web 应用开发的普遍选择,其应用遍布业界并依然被大量使用,尤其是在企业的一些历史遗留应用范围内。
作为这一框架的管理者,Apache 软件基金会发布声明对此做出了回应。
Equifax 认为凶手是 CVE-2017-5638
据媒体最初报道表明,漏洞可能是由 Struts 的一个 未公开漏洞所导致。但是,Equifax 已经确认在攻击中所使用的 Struts 漏洞是早已经被公开的 CVE-2017-5638。
CVE-2017-5638是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为 严重级别,同时,在披露的当天,Apache 也发布了新的 Struts 版本进行修复。
但是 Equifax 在漏洞出现的两个月内都没有将其修复,导致 5 月份以来,黑客利用这个漏洞进行攻击,泄露其敏感数据,而直到 7 月份该问题才被暴露出来。
该漏洞位于 Jakarta Multipart解析器中,对于 Apache Struts 2 的 2.3 版本,在 2.3.32 之前的版本中存在;对于 Struts 2 的 2.5 版本,在 2.5.10.1 之前的版本中存在。
在此期间,攻击者已经访问了不少客户的个人数据,其中包括 社会保障码、出生日期和 住址等。有 20.9 万名客户的信用卡号被访问,未知数量的英国和加拿大居民的个人数据也被泄露了。
该事件的发生,使得 Equifax 的股价在华尔街下跌了近 14%,据 BBC 报道,两个美国国会委员会将对此次数据泄漏事件举行听证会。此外,纽约、伊利诺伊州、马赛诸塞州、康涅提格洲和宾夕法尼亚州的州检察长将在本州内对此次事件开展调查。
Apache 基金会回应
Apache 软件基金会的项目管理委员会(Project Management Committee) 在媒体上对 Equifax 的声明做出了回应,其中提出了多点意见。
首先,依然不能确定泄漏的源头的确是由于 Struts 的漏洞所导致。其次,如果的确是源于 Struts 的漏洞,那么“或是 Equifax 服务器 未打补丁,使得一些更早期公布的漏洞被攻击者利用,或者是攻击者利用了一个到目前为止 尚未被发现的漏洞”。
根据推测,该声明提出黑客所使用的软件漏洞可能是 CVE-2017-9805漏洞,该漏洞是在 9 月 5 日(下文详述)公布的,这是在 Equifax 发现出现泄漏后的一个月。
声明中还列出了一些软件工程上的原则。如果这些原则得到了所有使用开源或不公开软件库的开发人员的遵守,将“有助于防止 Equifax 所经历的不幸泄露事件重现”。
CVE-2017-9805 或是真凶
9 月初,Struts 官方连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是 CVE-2017-9804、CVE-2017-9805和 CVE-2017-9793。
其中 CVE-2017-9805被定性为 严重级别,根据版本迭代历史推断,该漏洞已有 九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。据 Apache 基金会的回应,推测本次攻陷 Equifax 的黑客所使用的软件漏洞可能就是 CVE-2017-9805,而不是 Equifax 指出的 CVE-2017-5638。
简单来说,漏洞是由于 Struts2 的 REST 插件引起的,其 XStream 组件存在反序列化漏洞,但 Struts2 使用带有 XStream 实例的 XStreamHandler 进行反序列化操作时,没有进行任何类型过滤。
第二份安全公告于 9 月 7 日发布,涉及的漏洞是 CVE-2017-12611,漏洞等级是中危,漏洞根因是 Freemarker 标签,当用户在 Freemarker 标签中使用表达式常量或强制表达式时使用请求值就可能会导致 远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。
受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。
据了解,世界上约 65% 的财富 100 强公司都有使用 Struts 作为基础设施,这其中包括美国国税局、花旗集团、Equifax 等。
而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用 Struts 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过关于做好 Apache Struts2 高危漏洞管理和应急工作的安全公告。
本站摘自于网络。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/256755.html