Equifax-Hack Schlampereien: Apatche Struts ungepatcht

Publiziert am 15. September 2017 von Günter Born

Noch ein Nachtrag zum Equifax-Hack: Nun ist bestätigt, dass Schlampigkeit bei der Wirtschaftsauskunftei Equifax zum Hack führte. Und es werden neue, grauselige Details zu dieser Schlampert-Firma bekannt. Ergänzung: Einige Führungskräfte sind nun weg.

Anzeige

Worum geht es?

Vor knapp einer Woche wurde ruchbar, dass die größte amerikanische Wirtschaftsauskunftei Equifax gehackt wurde. Der Hack wurde am 29. Juli 2017 entdeckt, gemeldet wurde das Ganze der Öffentlichkeit erst im September.

Brisant: Laut Equifax waren die Cyber-Kriminellen von Mitte Mai bis Ende Juli 2017 am Werk und hatten Zugriff auf die persönlichen Daten von geschätzt 143 Millionen Amerikanern, sowie Kanadiern und Engländern. Ich hatte im Artikel GAU: US Wirtschaftsauskunftei Equifax gehackt darüber berichtet.

Und es wurde ruchbar, dass drei Führungskräfte aus dem Equifax-Management ihre Aktienanteile, Stunden vor Bekanntgabe des Hacks, verkauft haben. Mit dabei, der IT-Chef, aber es wird behauptet, dass diese Drei nichts vom Hack gewusst haben. Inzwischen fordern US-Politiker die Untersuchung des Aktienverkaufs. Und die Federal Trade Commission (FTC) hat eine Untersuchung eingeleitet.

Apache Struts-Lücke zwei Monate ungepatcht

So langsam lichten sich die Nebel, warum der Hack möglich wurde. Im Artikel GAU: US Wirtschaftsauskunftei Equifax gehackt hatte ich noch berichtet, dass unklar sei, ob eine Zero-Day-Lücke zum Einbruch genutzt worden sei. Kurze Zeit später hatte ich den Hinweis im Artikel Equifax-Hack nutzte Apache Struts-Lücke, dass eine Apache Struts-Sicherheitslücke beim Hack ausgenutzt worden sei. Beim Schreiben des Beitrags war noch unklar, welche Lücke das gewesen ist, denn es gab mehrere.

Nun hat das Unternehmen in diesem Statement vom 13. September 2017 eingestanden, das eine Sicherheitslücke CVE-2017-5638 in Apache Struts für den Hack verantwortlich war. Gehe ich in meinen Blog, stelle ich fest, dass eine dieser Sicherheitslücken bereits im März 2017 bekannt wurde (siehe mein Beitrag Apache Struts 2 dringend patchen). Dort habe ich auch kurz erwähnt, dass ein Exploit aufgetaucht sei.

Schaut man sich das Ganze an, wird die Schlamperei klar: Im März 2017 wird eine Sicherheitslücke im Apache Struts Framework bekannt, über die Server übernommen werden können. Ein Exploit ist vorhanden. Aber die IT von Equifax patcht die Server nicht, sondern wartet zu. Im Mai 2017 dringen Hacker über diese Sicherheitslücke ein, aber die IT merkt es erst Ende Juli 2017. Nur mal erwähnt: Die Klitsche ist kein kleiner Blog oder Shop-Betreiber, sondern die größte Wirtschaftsauskunftei der USA! Bei The Hacker News und Arstechnica finden sich weitere Informationen.

Schlampereien haben bei Equifax scheinbar Methode

Im Nachhinein ist es natürlich leicht, mit dem Finger auf die Firma zu zeigen. Wer den Schaden hat, braucht für den Spott nicht zu sorgen. Aber: Bei der größten Wirtschaftsauskunftei der USA, die brisante Daten von Millionen Benutzern sammelt, erwartet man im IT-Bereich Professionalität und höchstes Sicherheitsgebaren.

Davon scheint man aber bei Equifax weit entfernt zu sein – und die Managementstrukturen scheinen auch kaputt (zumindest, wenn ich mir ansehe, dass es viele Wochen von der Entdeckung des Hacks bis zur Bekanntgabe dauerte). Aber es gibt weitere brisante Details.

Anzeige

Ich hatte ja bereits im Artikel Equifax: Prüfseite nutzlos und anfällig für XSS auf den neuesten Fehler der IT-Verantwortlichen hingewiesen. In den letzten Tagen bin ich zudem auf diesen Artikel von Sicherheitsblogger Brian Krebs gestoßen. Dieser berichtet, dass offenbar auch Kundendaten aus Lateinamerika von Equifax gepflegt werden. Krebs wurde von Alex Holden, Gründer der Hold Security LLC kontaktiert. Er beschäftigte zwei Argentinier, die sich die Geschäfte von Equifax in Südamerika ansahen.

Es brauchte nicht lange, bis die beiden herausfanden, dass ein Online-Portal, welches für die Equifax-Angestellten in Argentinien zur Pflege von Disputfällen bei Kreditdaten eingerichtet worden war, weit offen stand. Als Passwort für den Zugang war "admin/admin" eingestellt. Man konnte also auf die Kreditdaten der betreffenden Kunden problemlos zugreifen. Da tun sich Abgründe auf – scheint aber in vielen Firmen an der Tagesordnung zu sein, dass extrem locker mit Daten umgegangen wird.

Ergänzung: Gerade geht die Meldung um, dass Equifax seinen Chief Security Officer Susan Mauldin, und den Chief Information Officer, David Webb, in den Ruhestand versetzt hat. Einer ist für Sicherheit, der andere für die IT verantwortlich.

Ergänzung 2: Equifax hat nun weitere Details bekannt gegeben. Man war sich der Apache Struts Sicherheitslücke bewusst und hat auch die Systeme gepatcht. Offenbar wurden aber einige Server übersehen. Weitere Informationen finden sich in diesen Beitrag.

Ähnliche Artikel:
GAU: US Wirtschaftsauskunftei Equifax gehackt
Equifax-Hack nutzte Apache Struts-Lücke
Equifax: Prüfseite nutzlos und anfällig für XSS

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Equifax-Hack Schlampereien: Apatche Struts ungepatcht

  1. Günter Born sagt:
    18. September 2017 um 14:51 Uhr

    Nachtrag: Nun gibt es neue Informationen zu Equifax – die IT war sich der Apache Struts Lücke bewusst und hat wohl auch Systeme aktualisiert. Offenbar sind aber einige Server schlicht übersehen worden – siehe obigen Nachtrag.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.