Уязвимость Apache Struts привела к взлому бюро кредитных историй Equifax
Главная » Новости

Уязвимость Apache Struts привела к взлому бюро кредитных историй Equifax

Олег Иванов 11 Сентября 2017 - 11:20
...
Уязвимость Apache Struts привела к взлому бюро кредитных историй Equifax

По имеющимся сообщениям, уязвимость, затрагивающая фреймворк для разработки Apache Struts 2, была использована для атаки на бюро кредитных историй Equifax, что привело к получению доступа злоумышленников к данным клиентов.

По заявлениям Equifax, хакеры имели доступ к системам в период с середины мая по конец июля. Инцидент затронул примерно 143 миллиона жителей США. Скомпрометированная информация включает имена, номера социального страхования, даты рождения, адреса и, в некоторых случаях, номера водительских удостоверений.

Согласно формулировке Equifax, «преступники использовали уязвимость веб-приложений для получения доступа к определенным файлам». Однако фирма, специализирующаяся на финансовых услугах, Baird заявила, что проблемным программным обеспечением является Apache Struts, фреймворк, используемый многими ведущими организациями для создания веб-приложений.

«Насколько мы понимаем ситуацию, причиной компрометации данных послужила ошибка в Apache Struts» - говорится в отчете Baird.

Некоторые эксперты сделали вывод, что речь идет об уязвимости, известной под идентификатором CVE-2017-9805, это брешь удаленного выполнения кода, которая возникает, когда плагин REST используется с обработчиком XStream. Однако этот недостаток был устранен 5 сентября с выпуском Struts 2.5.13.

В настоящее время эта уязвимость используется в реальных атаках. По словам комитета по управлению проектом Apache Struts, неясно, какая уязвимость Struts, если таковая имеется, была использована в компрометации Equifax.

Среди исследователей также есть мнение, что в атаке на Equifax более вероятно использовалась уязвимость Apache Struts, известная как CVE-2017-5638. Эта брешь используется киберпреступниками с марта.

«Сценарий использования обеих этих уязвимостей похож - злоумышленник отправляет конкретный HTTP-запрос, содержащий специальный синтаксис. Приложение, получив этот запрос, неправильно его обработает, что приведет к выполнению команд операционной системы» - говорит эксперт Contrast Security, Джефф Уильямс (Jeff Williams).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Кадровый дефицит и информационная безопасность — главные риски Open Source
Екатерина Быстрова 02 Сентября 2025 - 10:07
Уязвимости программ Общее
Кадровый дефицит и информационная безопасность — главные риски Open Source

Компания «Монк Диджитал Лаб» изучила, как российский бизнес использует Open Source в первой половине 2025 года. В опросе участвовали 138 крупных и средних компаний из разных отраслей, и главный вывод такой: открытое ПО проникло буквально во все инфраструктуры, но вместе с этим вырос и список рисков.

На первом месте — информационная безопасность. 81 % компаний назвали её ключевой проблемой. Опасения связаны с уязвимостями в коде, возможными закладками и зависимостью от зарубежных обновлений. Особенно остро вопрос стоит у банков и госорганов, для которых критично соответствовать требованиям регуляторов.

Следующий крупный блок рисков — стабильность и надёжность. 62 % опрошенных считают, что Open Source-системы чаще подвержены сбоям и багам. Бизнес опасается, что критичные базы данных или операционные системы могут «лечь» под нагрузкой, вызвав простои. Подобные инциденты, как отмечают участники исследования, действительно происходили.

Отдельная боль — дефицит специалистов. 52 % компаний признались, что им не хватает кадров для поддержки и настройки OSS. Особенно это ощущается в промышленности и регионах, где сложно найти опытных DevOps или администраторов.

38 % респондентов упомянули отсутствие официальной поддержки и SLA. Для крупных предприятий и банков это серьёзная проблема: если продукт сломается, предъявлять претензии некому, всё ложится на внутренние команды. Некоторые решают вопрос через контракты с интеграторами, но практика пока мало распространена.

Есть и юридические риски. 36 % компаний боятся изменения лицензий (например, перехода на SSPL), санкций против площадок вроде GitHub или Docker Hub, а также правовой неопределённости некоторых открытых лицензий в России. Финансовый сектор и телеком здесь особенно тревожатся: проект может сменить условия, а доступ к репозиторию окажется закрыт по внешнеполитическим причинам.

Дополнительно компании упоминали проблемы с масштабированием (32 %), высокой совокупной стоимостью владения (20 %) и совместимостью с отечественным ПО (15 %).

Несмотря на все эти опасения, российский бизнес продолжает внедрять Open Source. Но делает это осторожнее — параллельно формируя меры защиты от возможных угроз.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Paper Werewolf использовала дыры в WinRAR для атак на компании в России
Новость
Paper Werewolf использовала дыры в WinRAR для атак на компан...
Опасная уязвимость в PHPWord: атакующий мог читать файлы на сервере
Новость
Опасная уязвимость в PHPWord: атакующий мог читать файлы на...
В Оренбургской области переводят школы и дошкольные учреждения на MAX
Новость
В Оренбургской области переводят школы и дошкольные учрежден...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.