Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jeden z największych wycieków danych w USA: dostali się do 48 baz danych, 9 tysięcy zapytań, wyłączony monitoring bo „wygasł certyfikat”, webshelle, …
Raczej nikt nie chwali się wynikami analizy powłamaniowej, szczególnie gdy jest ona druzgocąca. Ale inaczej jest w przypadku Equifax. Przypomnijmy – w wyniku naruszeń bezpieczeństwa wyciekło niemal 150 milionów rekordów danych osobowych. Dodatkowo – około 200 000 numerów kart kredytowych. Obecnie mamy dostępny rządowy raport opisujący szczegóły incydentu. Polecam zerknąć przynajmniej na „executive summary”, w którym mamy takie „kwiatki”:
Attackers sent 9,000 queries on these 48 databases, successfully locating unencrypted personally identifiable information (PII) data 265 times. The attackers transferred this data out of the Equifax environment, unbeknownst to Equifax. Equifax did not see the data exfiltration because the device used to monitor ACIS network traffic had been inactive for 19 months due to an expired security certificate.
Czy te 9000 zapytań do baz danych było wykonane jakimś automatem wykorzystującym SQL injection? Raczej nie było potrzeby, bo atakujący mieli po prostu dostęp na system operacyjny:
On May 13, 2017, attackers began a cyberattack on Equifax. The attack lasted for 76 days. The attackers dropped “web shells” (a web-based backdoor) to obtain remote control over Equifax’s network. They found a file containing unencrypted credentials (usernames and passwords), enabling the attackers to access sensitive data outside of the ACIS environment. The attackers were able to use these credentials to access 48 unrelated databases.
W jaki sposób był możliwy dostęp na OS? Przez podatność w Apache Struts, o której Equfax był poinformowany:
n March 7, 2017, a critical vulnerability in the Apache Struts software was publicly disclosed. Equifax used Apache Struts to run certain applications on legacy operating systems. The following day, the Department of Homeland Security alerted Equifax to this critical vulnerability. Equifax’s Global Threat and Vulnerability Management (GTVM) team emailed this alert to over 400 people on March 9, instructing anyone who had Apache Struts running on their system to apply the necessary patch within 48 hours. The Equifax GTVM team also held a March 16 meeting about this vulnerability.
Chcesz mieć ciekawą lekturę na wieczór, zabookmarkuj cytowany raport.
–ms
Interesujący wpis, im większe zabezpieczenia, to jakby było gorzej.Przerost administracji nad systemami zabezpieczeń, najsłabsze ogniwo to człowiek,
który jest mało kompetentny. Pewnie zbudują nową instytucję która będzie pilnowała, to co jest zrobione dzisiaj. Proste jest dobre – BO JEST PROSTE.
pozdrawiam.