venerdì 15 settembre 2017

Equifax conferma: gli hacker hanno sfruttato una vulnerabilità di Apache Struts per rubare i dati dei clienti


La vicenda di Equifax, la compagnia statunitense che raccoglie e conserva i dati relativi alle abitudini ed all’affidabilità finanziaria di oltre 800 milioni di consumatori sparsi in tutto il globo, è in questi giorni inevitabilmente al centro dell’attenzione. La società di Atlanta è stata infatti vittima di un attacco che ha comportato il furto dei dati sensibili di 143 milioni di utenti. Un episodio di una gravità inaudita, ulteriormente aggravato dal fatto che Equifax, attiva nel settore della valutazione del rischio del credito da oltre 100 anni, gestisce le cruciali informazioni - di natura economica e fiscale – di migliaia di persone (per saperne di più sull’accaduto).

La vulnerabilità individuata da Equifax

Equifax, in un aggiornamento diffuso attraverso il suo sito web, ha reso noto come i cyber criminali si siano serviti di un bug di Apache Struts per violare i loro server ed accedere ai dati dei clienti. La compagnia con sede in Georgia, oltre a rinnovare il suo impegno in sinergia con le autorità competenti allo scopo di fare chiarezza sulla vicenda e garantire la sicurezza dei dati dei propri clienti, ha fatto sapere che la vulnerabilità è stata individuata in CVE-2017-5638.

Questa vulnerabilità consente ad un attaccante remoto di eseguire un codice arbitrario ed è legata ad una non corretta gestione dell'header content-type di una richiesta HTTP da parte del parser Jakarta Multipart. I cyber criminali, dopo che la vulnerabilità è stata resa nota, hanno subito messo in atto numerosi tentativi finalizzati a sfruttarla... Uno in particolare riguarda la violazione dei server Struts per installare il ransomware Cerber sui computer della rete locale, grazie al quale gli hacker sarebbe riusciti a generare Bitcoin per un valore di 100.000$.


Ad ogni modo è utile valutare le tempistiche con le quali la vicenda si è svolta. Infatti l'attacco, che secondo Equifax sarebbe avvenuto a metà maggio, avrebbe sfruttato una vulnerabilità già corretta a metà marzo. Vulnerabilità che inizialmente poteva essere considerata una 0-day - un bug di sicurezza sfruttato dagli attaccanti ma del quale i fornitori non sono a conoscenza e per il quale non è stata rilasciata una patch - ma per la quale gli amministratori non hanno adottato tempestivamente la patch disponibile da più di due mesi, in quanto era stata rilasciata contestualmente alla pubblicazione della vulnerabilità.

Le altre vulnerabilità riscontrate in Apache Struts
Esistono però anche molte altre vulnerabilità in Apache Struts. Una vulnerabilità di remote code execution è stata infatti individuata in Apache Struts CVE-2017-9805, il framework comunemente utilizzato per lo sviluppo di applicazioni web. Tale vulnerabilità (come descritto dai laboratori SEQRITE nei giorni scorsi) consente infatti all’attaccante di eseguire codici arbitrari da remoto e, allo stesso tempo, di colpire aziende dislocate in tutto il mondo, poiché Apache Struts è utilizzato da circa il 65% delle grandi società del pianeta - rendendolo così una preda molto appetibile per i cyber criminali.

In conclusione questa seconda vulnerabilità è da considerarsi pericolosa tanto quanto la prima, come testimoniato dai numerosi gruppi di cyber criminali che, servendosi delle falle presenti in Apache Struts, hanno cercato di sfruttarla nel tentativo di penetrare i server per appropriarsi di informazioni di vitale importanza.

Nessun commento:

Posta un commento