Equifax: tutta colpa di un framework open source

I dati sensibili di 143 milioni di clienti Equifax sono stati rubati grazie ad un bug (patchato a Marzo 2017) del framework open source Apache Struts.

La vulnerabilità del framework open source era stata patchata a Marzo 2017. Equifax non ha aggiornato per tempo le proprie web app.

Il logo del framework Apache Struts.

Equifax has been intensely investigating the scope of the intrusion with the assistance of a leading, independent cybersecurity firm to determine what information was accessed and who has been impacted. […]We know that criminals exploited a US website application vulnerability. The vulnerability was Apache Struts CVE-2017-5638. We continue to work with law enforcement as part of our criminal investigation, and have shared indicators of compromise with law enforcement

è quanto si legge online sul sito ufficiale dell’agenzia di controllo crediti statunitense.

Il bug menzionato, osserva ArsTechnica, era stato patchato lo scorso 6 Marzo, almeno due mesi e mezzo prima della presunta finestra temporale in cui sarebbe avvenuto l’attacco – svelato una settimana fa all’opinione pubblica, scoperto dai security team Equifax a fine Luglio e verificatosi a metà Maggio. La colpa non è naturalmente da attribuire ad Apache Struts – framework open source per lo sviluppo di applicazioni Java largamente utilizzato da agenzie governative, banche e compagnie che figurano nella prestigiosa lista Fortune 500 – ma alla grave svista della compagnia che non ha provveduto all’update delle proprie web app.

Equifax: una svista dopo l’altra

A complicare la posizione di Equifax anche i numerosi report di sicurezza diffusi all’indomani della patch di Marzo 2017 – che sottolineavano la pericolosità del bug e l’elevata popolarità dell’exploit tra gli hacker nonostante la pubblicazione del fix.

ArsTechnica dedicò un approfondimento alla vulnerabilità CVE-2017-5638 affermando come l’applicazione del fix richiedesse un lungo ed impegnativo lavoro da parte degli addetti ai lavori: oltre al download della versione più recente di Strut, occorreva infatti riscrivere da zero tutte le app che si appoggiavano alla versione buggata del framework e sottoporle a scrupolosi test prima del ritorno in produzione – il rischio che le app “rompano” le funzionalità chiave del sito è alto.

Quanto detto non giustifica in ogni caso la condotta deprecabile di Equifax che, considerate le informazioni altamente sensibili presenti nei propri sistemi, doveva provvedere il prima possibile all’aggiornamento – e torna alla mente il caso Wannacrypt. Le sviste dei vertici aziendali all’indomani del “reveal” all’opionione pubblica, evidenziate da ArsTechnica in un precedente articolo (codici di debug, dominio bloccato da Open DNS, certificato TLS implementato non correttamente), non hanno fatto altro che accrescere i dubbi circa le reali competenze dei security team dell’agenzia di controllo crediti.

Fonte: 1

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *