Уязвимость Apache Struts привела к взлому бюро кредитных историй Equifax

Олег Иванов 11 Сентября 2017 - 11:20

...

Уязвимость Apache Struts привела к взлому бюро кредитных историй Equifax

По имеющимся сообщениям, уязвимость, затрагивающая фреймворк для разработки Apache Struts 2, была использована для атаки на бюро кредитных историй Equifax, что привело к получению доступа злоумышленников к данным клиентов.

По заявлениям Equifax, хакеры имели доступ к системам в период с середины мая по конец июля. Инцидент затронул примерно 143 миллиона жителей США. Скомпрометированная информация включает имена, номера социального страхования, даты рождения, адреса и, в некоторых случаях, номера водительских удостоверений.

Согласно формулировке Equifax, «преступники использовали уязвимость веб-приложений для получения доступа к определенным файлам». Однако фирма, специализирующаяся на финансовых услугах, Baird заявила, что проблемным программным обеспечением является Apache Struts, фреймворк, используемый многими ведущими организациями для создания веб-приложений.

«Насколько мы понимаем ситуацию, причиной компрометации данных послужила ошибка в Apache Struts» - говорится в отчете Baird.

Некоторые эксперты сделали вывод, что речь идет об уязвимости, известной под идентификатором CVE-2017-9805, это брешь удаленного выполнения кода, которая возникает, когда плагин REST используется с обработчиком XStream. Однако этот недостаток был устранен 5 сентября с выпуском Struts 2.5.13.

В настоящее время эта уязвимость используется в реальных атаках. По словам комитета по управлению проектом Apache Struts, неясно, какая уязвимость Struts, если таковая имеется, была использована в компрометации Equifax.

Среди исследователей также есть мнение, что в атаке на Equifax более вероятно использовалась уязвимость Apache Struts, известная как CVE-2017-5638. Эта брешь используется киберпреступниками с марта.

«Сценарий использования обеих этих уязвимостей похож - злоумышленник отправляет конкретный HTTP-запрос, содержащий специальный синтаксис. Приложение, получив этот запрос, неправильно его обработает, что приведет к выполнению команд операционной системы» - говорит эксперт Contrast Security, Джефф Уильямс (Jeff Williams).

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Олег Иванов 06 Июня 2020 - 13:26

Соответствие законодательству РФ Домашние пользователи Государство [taxonomy_vocabulary_2]

Путин поручил создать в России базу генетических данных граждан

В России планируют создать базу генетических данных граждан. Соответствующая информация упоминается в перечне поручений президента страны Владимира Путина, сформированном по итогам совещания по вопросам развития генетических технологий.

Согласно документу, опубликованному на сайте Кремля, в стране должны будут создать «Национальную базу генетической информации», в которой будут храниться и обрабатываться соответствующие данные россиян.

С 2021 года на создание и функционирование вышеупомянутой информационно-аналитической системы будут ежегодно выделяться средства из федерального бюджета.

Поручение Путина в первую очередь адресуется правительству и национальному исследовательскому центру «Курчатовский институт». Ответственными глава страны назначил председателя Правительства Российской Федерации Михаила Мишустина и Александра Благова, директора НИЦ «Курчатовский институт».

Помимо этого, президент России поручил разработать учебные курсы в области генетики, а также организовать повышение квалификации педагогов.