Equifax未能修补旧的Apache Struts漏洞，导致数据泄露

信用评级机构Equifax是另一个因未及时修补关键漏洞而成为大规模网络攻击受害者的公司的例子，受尊敬的公司已经发布了修补程序。

3月6日，Apache Struts版本2.3.32或2.5.10.1发布，在Equifax漏洞中利用的Apache Struts2漏洞（CVE-2017-5638）被披露并修复，该漏洞被评为严重漏洞，最高得分为10.0分。

该漏洞与CVE-2017-9805不同，CVE-2017-9805是本月早些时候修补的另一个Apache Struts2漏洞，它是一个编程缺陷，表现为Struts REST插件在反序列化XML有效负载时处理XML有效负载的方式，并在Struts 2.5.13版中修复。

该漏洞一经披露，黑客就开始积极利用该漏洞，在其概念验证（PoC）攻击代码上传到一个中国网站后，在受影响的web服务器上安装恶意应用程序。

尽管提供了补丁，并证明该漏洞已经受到黑客的大规模攻击，但Equifax未能针对该漏洞修补其Web应用程序，导致近一半美国人的个人数据遭到破坏。

“Equifax在一家领先的独立网络安全公司的协助下，一直在深入调查入侵的范围，以确定访问了哪些信息，以及哪些人受到了影响，”该公司官员在网站上的一次更新中写道，该网站发布了一份新的“消费者进度更新”，“我们知道犯罪分子利用了美国网站应用程序漏洞。该漏洞是Apache Struts CVE-2017-5638。作为刑事调查的一部分，我们继续与执法部门合作，并与执法部门分享了妥协的迹象”。

CVE-2017-5638是思科威胁情报公司Talos在流行的Apache Struts web应用程序框架中发现的一个零日漏洞，该公司发现了许多利用该漏洞的主动攻击。
问题是Apache Struts2的雅加达多部分解析器中存在远程代码执行漏洞，攻击者在基于解析器上传文件时，可能会在服务器上执行恶意命令。

当时，Apache警告说，可能会使用“恶意内容类型值”执行远程代码执行攻击，如果该值无效，“将引发异常，然后用于向用户显示错误消息”。

另请阅读：保护自己不受Equifax攻击的步骤

对于那些不知道的人来说，ApacheStruts是一个免费的开源MVC框架，用于用Java编程语言开发运行前端和后端web服务器的web应用程序。《财富》100强企业中有65n%使用了该框架，包括洛克希德·马丁公司、沃达丰公司、维珍大西洋公司和美国国税局。

由于黑客正在积极利用Apache Struts web框架中的漏洞，Cisco还针对Apache Struts2中新发现的四个安全漏洞对其产品进行了调查。

其他也采用了Apache Struts 2版本的公司也应该检查其基础设施是否存在这些漏洞。

Equifax目前为受大规模数据泄露影响的人提供免费的信用监控和身份盗窃保护服务，并对人们的信息进行了安全冻结。

虽然该公司最初因生成一个简单的时间和日期戳且易于猜测的PIN而受到批评，但PIN生成方法后来被改为随机生成数字。