forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Apache Struts стала причиной утечки персональны..."
Отправлено opennews, 10-Сен-17 21:15

Бюро кредитных историй Equifax обнародовало (http://www.prnewswire.com/news-releases/equifax-announces-cy... информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования (https://ru.wikipedia.org/wiki/%D0%9D%D0%... даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД.

В отчёте (https://baird.bluematrix.com/docs/pdf/dbf801ef-f20e-4d6f-91c... компании William Baird & Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом  мог произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный доступ к системе.  Не уточняется была эксплуатирована раскрытая (https://www.opennet.ru/opennews/art.shtml?num=47139) несколько дней назад критическая уязвимость (CVE-2017-9805) или уязвимость, выявленная (https://www.opennet.ru/opennews/art.shtml?num=46167) в марте (CVE-2017-5638). Обе проблемы позволяют выполнить свой код на сервере, при этом если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho... с правами root, в результате удалённой атаки может быть получен доступ с правами root.
Фонд Apache опубликовал (https://blogs.apache.org/foundation/entry/apache-struts-stat... заявление, в котором пояснил свою позицию по поводу взлома. Так как атака произошла с мая по июль, для проникновения наиболее вероятно использовалась мартовская уязвимость, в этом случае серверы Equifax несколько месяцев  заведомо продолжали использовать уязвимую версию Apache Struts, несмотря на начавшуюся волну атак и предупреждения о необходимости оперативного обновления. Если атака была совершена в при помощи сентябрьской уязвимости, то об этой уязвимости в мае-июле ещё не было известно и атакующие должны были сами её обнаружить или воспользоваться неизвестным 0-day эксплоитом. Манипуляции информацией о том, что сентябрьская уязвимость вызвана ошибкой, которая находится в коде уже 9 лет, неуместны, так как есть большая разница между выявлением ранее неизвестной ошибки и знанием о наличии неисправленной ошибки.

В качестве рекомендаций по обеспечению безопасности своей инфраструктуры Фонд Apache указал на необходимость соблюдения следующих правил:

-  Отслеживание сведений об уязвимостях и новых версиях применяемых фреймворков и библиотек.
-  Налаживание процесса оперативной установки обновлений с устранением уязвимостей - уязвимости должны устраняться за часы или считанные дни, но не спустя недели и месяцы.
-  Готовность к тому, что любые сложные программные системы потенциально могут содержать уязвимости. Инфраструктура изначально не должна полагаться не то, что применяемое ПО безопасно.
-  Применение нескольких уровней защиты для публично доступных сервисов и отделение таких сервисов от внутренних систем и БД транзитными прослойками. Уязвимости во внешнем интерфейсе не должны приводить к компрометации бэкенда.
-  Внедрение систем мониторинга и выявления аномалий для определения необычной активности при доступе к web-ресурсам.
Также можно отметить, что для проверки утечки данных пользователей в результате инцидента от имени Equifax был создан сайт equifaxsecurity2017.com (https://www.equifaxsecurity2017.com/), который предлагал ввести фамилию и 6 из 9 знаков номера социального страхования для определения степени утечки сведений о конкретном человеке. Сайт вызвал (https://arstechnica.com/information-technology/2017/09/why-t... подозрения в проведении фишинга и даже был заблокирован службой OpenDNS. Субъективно о фишинге свидетельствовало использование типового движка WordPress, запрос персональных данных, регистрация доменного имени на стороннее лицо и использование TLS-сертификата бесплатного HTTPS-сервиса Cloudflare.
URL: https://blogs.apache.org/foundation/entry/apache-struts-stat...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47170

Исходное сообщение
"Уязвимость в Apache Struts стала причиной утечки персональны..." Отправлено opennews, 10-Сен-17 21:15
Бюро кредитных историй Equifax обнародовало (http://www.prnewswire.com/news-releases/equifax-announces-cy... информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования (https://ru.wikipedia.org/wiki/%D0%9D%D0%... даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД. В отчёте (https://baird.bluematrix.com/docs/pdf/dbf801ef-f20e-4d6f-91c... компании William Baird & Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом мог произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный доступ к системе. Не уточняется была эксплуатирована раскрытая (https://www.opennet.ru/opennews/art.shtml?num=47139) несколько дней назад критическая уязвимость (CVE-2017-9805) или уязвимость, выявленная (https://www.opennet.ru/opennews/art.shtml?num=46167) в марте (CVE-2017-5638). Обе проблемы позволяют выполнить свой код на сервере, при этом если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho... с правами root, в результате удалённой атаки может быть получен доступ с правами root. Фонд Apache опубликовал (https://blogs.apache.org/foundation/entry/apache-struts-stat... заявление, в котором пояснил свою позицию по поводу взлома. Так как атака произошла с мая по июль, для проникновения наиболее вероятно использовалась мартовская уязвимость, в этом случае серверы Equifax несколько месяцев заведомо продолжали использовать уязвимую версию Apache Struts, несмотря на начавшуюся волну атак и предупреждения о необходимости оперативного обновления. Если атака была совершена в при помощи сентябрьской уязвимости, то об этой уязвимости в мае-июле ещё не было известно и атакующие должны были сами её обнаружить или воспользоваться неизвестным 0-day эксплоитом. Манипуляции информацией о том, что сентябрьская уязвимость вызвана ошибкой, которая находится в коде уже 9 лет, неуместны, так как есть большая разница между выявлением ранее неизвестной ошибки и знанием о наличии неисправленной ошибки. В качестве рекомендаций по обеспечению безопасности своей инфраструктуры Фонд Apache указал на необходимость соблюдения следующих правил: - Отслеживание сведений об уязвимостях и новых версиях применяемых фреймворков и библиотек. - Налаживание процесса оперативной установки обновлений с устранением уязвимостей - уязвимости должны устраняться за часы или считанные дни, но не спустя недели и месяцы. - Готовность к тому, что любые сложные программные системы потенциально могут содержать уязвимости. Инфраструктура изначально не должна полагаться не то, что применяемое ПО безопасно. - Применение нескольких уровней защиты для публично доступных сервисов и отделение таких сервисов от внутренних систем и БД транзитными прослойками. Уязвимости во внешнем интерфейсе не должны приводить к компрометации бэкенда. - Внедрение систем мониторинга и выявления аномалий для определения необычной активности при доступе к web-ресурсам. Также можно отметить, что для проверки утечки данных пользователей в результате инцидента от имени Equifax был создан сайт equifaxsecurity2017.com (https://www.equifaxsecurity2017.com/), который предлагал ввести фамилию и 6 из 9 знаков номера социального страхования для определения степени утечки сведений о конкретном человеке. Сайт вызвал (https://arstechnica.com/information-technology/2017/09/why-t... подозрения в проведении фишинга и даже был заблокирован службой OpenDNS. Субъективно о фишинге свидетельствовало использование типового движка WordPress, запрос персональных данных, регистрация доменного имени на стороннее лицо и использование TLS-сертификата бесплатного HTTPS-сервиса Cloudflare. URL: https://blogs.apache.org/foundation/entry/apache-struts-stat... Новость: http://www.opennet.ru/opennews/art.shtml?num=47170

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Бюро кредитных историй Equifax обнародовало (http://www.prnewswire.com/news-releases/equifax-announces-cybersecurity-incident-involving-consumer-information-300515960.html) 
> информацию о взломе, в результате которого в руки атакующих попали персональные 
> данные 143 млн жителей США (44% населения США). Информация включает в 
> себя имена, номера социального страхования (https://ru.wikipedia.org/wiki/%D0%9D%D0%BE%D0%BC%D0%B5%D1%80_%D1%81%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE_%D1%81%D1%82%D1%80%D0%B0%D1%85%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F), 
> даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч 
> человек дополнительно были получены номера кредитных карт, а для 182 тысяч 
> - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, 
> финансовых операциях и платежах не пострадали, так как хранились в не 
> затронутой в результате атаки БД.

> В отчёте (https://baird.bluematrix.com/docs/pdf/dbf801ef-f20e-4d6f-91c1-88e55503ecb0.pdf) 
> компании William Baird & Co. утверждается, что взлом был совершён через 
> уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг 
> потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом  мог 
> произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный 
> доступ к системе.  Не уточняется была эксплуатирована раскрытая (https://www.opennet.ru/opennews/art.shtml?num=47139) 
> несколько дней назад критическая уязвимость (CVE-2017-9805) или уязвимость, выявленная 
> (https://www.opennet.ru/opennews/art.shtml?num=46167) в марте (CVE-2017-5638). Обе 
> проблемы позволяют выполнить свой код на сервере, при этом если web-приложение 
> выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_without_root_privileges.3F) 
> с правами root, в результате удалённой атаки может быть получен доступ 
> с правами root.

> Фонд Apache опубликовал (https://blogs.apache.org/foundation/entry/apache-struts-statement-on-equifax) 
> заявление, в котором пояснил свою позицию по поводу взлома. Так как 
> атака произошла с мая по июль, для проникновения наиболее вероятно использовалась 
> мартовская уязвимость, в этом случае серверы Equifax несколько месяцев  заведомо 
> продолжали использовать уязвимую версию Apache Struts, несмотря на начавшуюся волну атак 
> и предупреждения о необходимости оперативного обновления. Если атака была совершена в 
> при помощи сентябрьской уязвимости, то об этой уязвимости в мае-июле ещё 
> не было известно и атакующие должны были сами её обнаружить или 
> воспользоваться неизвестным 0-day эксплоитом. Манипуляции информацией о том, что сентябрьская 
> уязвимость вызвана ошибкой, которая находится в коде уже 9 лет, неуместны, 
> так как есть большая разница между выявлением ранее неизвестной ошибки и 
> знанием о наличии неисправленной ошибки.

> В качестве рекомендаций по обеспечению безопасности своей инфраструктуры Фонд Apache указал 
> на необходимость соблюдения следующих правил:

> -  Отслеживание сведений об уязвимостях и новых версиях применяемых фреймворков и 
> библиотек.
> -  Налаживание процесса оперативной установки обновлений с устранением уязвимостей - уязвимости 
> должны устраняться за часы или считанные дни, но не спустя недели 
> и месяцы.
> -  Готовность к тому, что любые сложные программные системы потенциально могут 
> содержать уязвимости. Инфраструктура изначально не должна полагаться не то, что применяемое 
> ПО безопасно.

> -  Применение нескольких уровней защиты для публично доступных сервисов и отделение 
> таких сервисов от внутренних систем и БД транзитными прослойками. Уязвимости во 
> внешнем интерфейсе не должны приводить к компрометации бэкенда.

> -  Внедрение систем мониторинга и выявления аномалий для определения необычной активности 
> при доступе к web-ресурсам.

> Также можно отметить, что для проверки утечки данных пользователей в результате инцидента 
> от имени Equifax был создан сайт equifaxsecurity2017.com (https://www.equifaxsecurity2017.com/), 
> который предлагал ввести фамилию и 6 из 9 знаков номера социального 
> страхования для определения степени утечки сведений о конкретном человеке. Сайт вызвал 
> (https://arstechnica.com/information-technology/2017/09/why-the-equifax-breach-is-very-possibly-the-worst-leak-of-personal-info-ever/) 
> подозрения в проведении фишинга и даже был заблокирован службой OpenDNS. Субъективно 
> о фишинге свидетельствовало использование типового движка WordPress, запрос персональных 
> данных, регистрация доменного имени на стороннее лицо и использование TLS-сертификата 
> бесплатного HTTPS-сервиса Cloudflare.

> URL: https://blogs.apache.org/foundation/entry/apache-struts-statement-on-equifax 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47170

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру