美國徵信巨頭Equifax數據泄露:不及時修復漏洞,就是給自己埋不定時炸彈
美國徵信巨頭 Equifax 日前確認,黑客利用其系統中未修復的 Apache Struts 漏洞( CVE-2017-5638,3 月 6 日曝光)發起攻擊,導致了最近影響惡劣的大規模數據泄漏事件。Equifax 是美國三大老牌徵信機構之一,擁有大量美國公民敏感數據,收益一直在 10 億級別。其原本提供免費信用監控和身份竊取保護服務,還聲稱可以安全地凍結對敏感信息的訪問。此次大規模數據泄露對其而言無疑是一場災難。
上周我們報道過,黑客在 5 月中旬至 7 月下旬一直秘密入侵 Equifax 系統
,獲取 1.43 億用戶信用記錄,包括名稱、社會保障號、出生日期、地址,以及一些駕駛執照號碼等。此外,美國約 209,000 名消費者的信用卡詳情和涉及 18.2 萬人的爭議文件也可能遭到泄露
。Equifax 在英國(約 4400 萬)和加拿大的一些顧客也受到影響,加拿大 Equifax 顧客已經啟動了集體訴訟。
Equifax 最初發布聲明表示,網路犯罪分子利用某個「U.S. website application」中的漏洞獲取文件。後來經調查,該應用程序就是大家耳熟能詳的 Apache Struts。
Equifax 在周三公布的網路安全事件更新公告中確認,3 月份披露和修復的 CVE-2017-5638 是就是此次數據泄露事件中攻擊者所利用的漏洞。
當時這個漏洞的評分為最高分 10 分,Apache 隨後發布 Struts 2.3.32 和 2.5.10.1 版本,進行修復。但 Equifax 在漏洞出現的兩個月內都沒有修復,導致 5 月份黑客利用這個漏洞進行攻擊,泄露其敏感數據。事件發生後,好事者還列舉了 Equifax 系統中的一系列漏洞,包括一年以前向公司報告的未修補的跨站腳本(XSS)漏洞。此外,Equifax 還有很多基礎保護措施都不到位。安全博客 Brian Krebs 周二報道:Equifax 某阿根廷員工門戶也泄露了 14,000 條記錄,包括員工憑證和消費者投訴。紐約已經對 Equifax 違規行為進行正式調查,伊利諾斯州等近 40 個州也都加入了調查陣營。
被黑過程
上圖是從 Equifax 伺服器中獲得的內容。有黑客發布了一些竊取的數據,表明了入侵的途徑、手段等。據研究人員分析,Equifax 所謂的「管理面板」都沒有採取任何安保措施。來自 Brian Krebs 的博文顯示,其中一個管理面板使用的用戶名和密碼都是「admin」。作為一個如此重要的徵信機構,居然使用這麼簡單的用戶名和密碼。估計研究人員和用戶知道之後心裡都在呵呵吧。
Equifax 泄露的消費者數據數量驚人。 一個市值幾十億美元的代理機構處理敏感信息時居然使用有漏洞的系統,這的確令人髮指。與此事有關的黑客發表了如下聲明:
如果公布這些信息,能讓這些公司承認自己很垃圾(而不是只會甩鍋給 Apache),那麼我一定會公布。
事實上,除了 Apache 的漏洞,黑客還使用了一些其他手段繞過WAF。 最難的是找到伺服器本身並加以利用。某位研究員曾嘗試深入調查,結果發現有些管理面板居然位於 Shodan 搜索引擎上。相關黑客透露的消息稱,沒有一個面板是相同的;且數據泄露曝光後,Equifax 已經關閉了一些面板,其中一個面板是因為 Brian Krebs 的博文而關閉的。
此外,黑客還打算開一個暗網伺服器,擇日發布或售賣竊取到的數據,看來是在模仿其他詐騙比特幣的黑客團伙。他們簡要介紹了自己跟蹤虛假黑客的方式。 該伺服器(或者說是需要利用 Tor 瀏覽器訪問的洋蔥網路)目前位於 equihxbdrnnnncncn.vn 上。 當問及竊取數據和開設暗網市場是否都是為了賺贖金時,這些黑客則表示:
不,我們只是覺得有必要增加比特幣贖金數目,以吸引更多的媒體關注到 Equifax 被黑這件事。
如此說來,這些黑客並非只是為了賺錢,大約是為了出名或者搞事情吧。
被入侵的面板
在進一步調查中,研究人員發現,這個黑客團伙入侵了大量功能各不相同的 Equifax 管理面板。一些面板負責信用報告,一些則用作分析。更令人震驚的是,這些面板都指向 equifax.com 的子域名;大量 switchboard 以及叫做 「bumblebee」 的部件也都有共同點,這導致他們很容易受到相似的攻擊。因此,只要有一個漏洞可以利用,就能輕易獲取這些面板中的內容。以下是一些遭入侵的面板詳情:
研究人員還獲取到了更多黑客竊取的敏感信息,並使用 Equifax 的 TrustedID Premier 驗證了這些信息,進一步確認了黑客的身份。
上圖有一張基本上就體現了 1.43 億人的資料庫詳情。 證明這些數據的的確確掌握在黑客手中。這些數據可能導致不同層面的身份欺詐。一旦黑客將這些數據公布出去,就是一場大災難。如今指責黑客似乎也無濟於事,畢竟還是 Equifax 自己安保工作不到位才導致這次泄露。
小結
那麼黑客到底是通過什麼方式獲取到資料庫的密碼的呢?這些控制面板的確安全性很差,但其他部分是否安全?事實上,這些控制面板中還儲存了一些加密數據,但密鑰卻放在面板內部。一旦面板被入侵,加密數據也不再安全。截圖表明,這些密鑰以及所有 Equifax 子公司的信息都保存妥善,但最後他們還是都被黑了。
Equifax 注意到這個漏洞之後,馬上就著手關閉一些伺服器,其中有個主管理面板被漏掉了。後來,每個伺服器都丟失了與主伺服器的連接,主伺服器也最終下線。 這引發了一些問題:為什麼互聯網上任何人都能訪問這些伺服器? 為什麼 Equifax 使用默認密碼卻不進行修改? 信用機構內部的安全小組是怎樣一群人,居然能允許使用默認密碼的狀況存在?
還有一個新聞也值得注意,有報道說,Equifax員工在違規發生之前出售股票。這是否表明 Equifax 有內鬼?
上一次如此大規模的數據泄漏事件主角應該是雅虎。繼 2013 年大規模數據泄露之後,雅虎在 2016 年又遭遇攻擊,影響 10 億用戶賬戶。當時雅虎股價在事件爆出的第二天就下跌了 2.4%。
而此次 Equifax 的股價也下跌了超過 30%,市值縮水約 53 億。
這讓各大企業不得不警惕。Apache Struts 不斷爆出漏洞,黑客也一直想辦法在利用這些漏洞。以 CVE-2017-5638為例,有黑客利用這個漏洞入侵 Struts 2 的伺服器,在當地聯網的計算機上安裝 Cerber 勒索軟體並謀利至少 10 萬美元。
前幾天還有消息稱 Apache Struts2 中的四個新發現的安全漏洞(尤其是 CVE-2017-9805)可能影響思科的大部分產品 ,因此思科發起了對其產品的全面檢查。其實,這種檢查對於所有使用 Struts 框架的公司而言,都是很有必要的。再進一步說,使用合適的安全產品和安全策略,建立可靠的安全團隊,是各大公司(尤其是涉及敏感數據的公司)
*參考來源:Securityweek,SPUZ,AngelaY 編譯,轉載請註明來自 FreeBuf.COM
※挖洞經驗 | 看我如何利用SAML漏洞實現Uber內部聊天系統未授權登錄
※一款功能豐富的Perl後門程序分析
※安全CDN市場分析 | 動作頻出的背後,我們看到一個有野心的Incapsula
※全能無線滲透測試工具,一個LAZY就搞定了
TAG:FreeBuf |