Bản Apache Struts cũ là nguyên nhân khiến Equifax bị dò rỉ dữ liệu

Vụ tấn công tại Equifax đã gây ảnh hưởng đến 143 triệu tài khoản người dùng của họ. Nguyên nhân được Equifax xác nhận là hacker đã lợi dụng khai thác lỗ hổng Apache Struts 2 mà Apache đã công bố bản vá 2 tháng trước đó.

Equifax là một trong rất nhiều các công ty xếp hàng tín dụng khác trở thành nạn nhân của các cuộc tấn công từ phía tin tặc. Nguyên nhân được xác nhận là do không kịp thời cập nhật bản vá các lỗ hổng từ phía nhà phát hành ứng dụng.

Apache Struts 2 (CVE-2017-5638) được đánh giá là một lỗ hổng bảo mật nghiêm trong với mức độ nguy hiểm cao nhất. Hacker đã lợi dụng lỗ hổng Apache Struts 2 được Apache phát hiện và công bố bản vá vào ngày 6/3 với Apache Struts phiên bản 2.3.32 hoặc 2.5.10.1.

Lỗ hổng này khác với CVE-2017-9805, một lỗ hổng khác của Apache Struts2 đã được vá hồi đầu tháng này. Đó là là một lỗi về lập trình, do cách thức Struts REST xử lý các tệp XML trong khi đáng ra phải giải mã các định dạng dữ liệu, lỗi này đã được vá trong Struts phiên bản 2.5.13.

Ngay sau khi công bố lỗ hổng này, ngay lập tức tin tặc bắt đầu khai thác lỗ hổng để tiến hành cài đặt các ứng dụng giả mạo trên các máy chủ web bị ảnh hưởng sau khi một đoạn mã khai thác PoC được tải lên một trang Web đặt tại Trung Quốc.

Mặc dù đã có bản vá và đã được chứng minh là an toàn nhưng Equifax đã không chủ động  trong việc cập nhật bản vá cho các ứng dụng web của họ. Điều này dẫn tới một hệ lụy là gần 1/2 dân số của Hoa Kỳ nằm trong nguy cơ bị lộ lọt thông tin.

XEM THÊM: 3 tỷ tài khoản Yahoo bị tấn công trong vụ dò rỉ dữ liệu năm 2013

Phát ngôn chính thức từ công ty:

“Hiện tại Equifax đã và đang dốc toàn bộ sức lực đề điều tra vụ tấn công với sự hỗ trợ của một công ty về an ninh mạng hàng đầu. Họ đã xác định được những thông tin nào đã được truy cập và những ai bị ảnh hưởng.”

“Chúng tôi đã biết được ai chính là thủ phạm gây ra vụ tấn công này và lỗ hổng ở đây chính là Apache Struts CVE-2017-5638. Chúng tôi vẫn sẽ tiếp tục phối với với các cơ quan hành pháp để điều tra và sẵn sàng chia sẻ bất cứ thông tin hay chỉ số nào với họ.”

CVE-2017-5638 là một lỗ hổng Zero Day. Nó được phát hiện trong các ứng dụng chạy trên nền web Apache Struts bởi công ty Talos của Cisco.

Lỗi này xảy ra do lỗi thực thi mã lệnh từ xa trong trình phân tích cú pháp của Jakarta trên Apache Struts 2. Nó có thể cho phép kẻ tấn công thực thi các lệnh độc hại trên máy chủ khi tải tệp lên.

Vào thời điểm đó, Apache đã có cảnh báo rằng rất có thể xảy ra một cuộc tấn công thực thi mã lệnh từ xa bằng những dạng nội dung độc hại. Và nếu nội dung này không hợp lệ “một trường hợp ngoại lệ xuất hiện và ngay sau đó nó hiển thị 1 tin nhắn báo lỗi cho người dùng.

Apache Struts được xem như là một nền tảng MVC dưới dạng mã nguồn mở miễn phí dùng để phát triển các ứng dụng web được lập trình bằng Java. Nó có thể chạy trên những máy chủ web. Nền tảng được sử dụng bởi 65% trên tổng số 100 công ty xếp hạng Fortune 100 trong đó bao gồm cả Lockheed Martin, Vodafone, Virgin Atlantic và IRS.

Kể từ khi các hacker lợi dụng lỗ hổng Apache Struts 2 thì Cisco cũng đã bắt đầu cho kiểm tra lại các sản phẩm của mình để chống lại 4 lỗ hổng mới được phát hiện trên Apache Struts 2. Những công ty khác đang sử dụng 1 phiên bản bất kỳ của Apache Struts 2 cũng đang tiến hành kiểm tra lại toàn bộ sản phẩm để chống lại những lỗ hổng này.

Equifax hiện tại đang cung cấp các dịch vụ về giám sát tín dụng miễn phí và dịch vụ bảo vệ thông tin cá nhân cho những người bị lộ lọt thông tin và họ cũng đã bắt đầu chặn việc truy cập thông tin cá nhân.

XEM NHIỀU NHẤT: Cảnh báo thiết bị Android đang bị mã độc tống tiền tấn công