Либо бюро Equifax вовремя не обновило свое ПО, либо хакеры проэксплуатировали уязвимость нулевого дня.
Компания Apache Software Foundation выступила в защиту своей продукции на фоне масштабной утечки данных клиентов бюро кредитных историй Equifax. Как ранее сообщал SecurityLab, в результате кибератаки, длившейся с мая по июль текущего года, хакеры получили доступ к персональным данным 143 млн клиентов компании.
Согласно заявлениям некоторых СМИ, в ходе атаки на Equifax киберпреступники проэксплуатировали исправленную на прошлой неделе уязвимость в Apache Struts. Если верить новостному изданию QZ.com, причиной утечки могла послужить именно эта уязвимость , присутствовавшая в популярном фреймворке в течение девяти лет.
Apache Software Foundation не желает брать на себя ответственность за инцидент, произошедший до того, как ей стало известно о наличии уязвимости в Apache Struts. Менее всего компания хочет прослыть производителем, не исправляющим в своих продуктах многолетние проблемы с безопасностью.
«Мы очень расстроены новостями о том, что бюро Equifax стало жертвой взлома, и что раскрытие информации потенциально могло произойти из-за уязвимости в Apache Struts Web Framework. В настоящее время неизвестно, какая именно уязвимость была проэксплуатирована, если вообще была», - говорится в заявлении Equifax.
Согласно заявлению, взлом Equifax произошел в мае 2017 года, но о нем стало известно только в июле. Последняя уязвимость в Apache Struts (CVE-2017-9805) была раскрыта в начале сентября. До этого времени о других проблемах в коде сообщалось еще в марте. То есть, либо злоумышленники проэксплуатировали уже известную уязвимость, либо уязвимость нулевого дня.
«Касательно утверждения, будто CVE-2017-9805 просуществовала в коде девять лет, поясняем. Есть огромная разница между обнаружением проблемы спустя девять лет с ее появления и осведомленностью о ней в течение нескольких лет. Если бы имел место второй вариант, команде пришлось бы потрудиться объяснить, почему она не исправила уязвимость раньше. Но в данном случае все обстоит по-другому. Мы только недавно узнали об использовании определенной части кода не по назначению и как можно скорее исправили проблему», - заявили в Apache Software Foundation.
Сама жертва атаки, Equifax, не уточняет подробности взлома. Представители бюро только упомянули, что кибератака как-то связана с web-приложением.
Собираем и анализируем опыт профессионалов ИБ