左耳听风_004_03_Equifax信息泄露始末

你好，我是陈浩网民，做耳头house.相信你呢一定听说过一件事儿。

美国呢有一家非常知名的征信公司叫acrifice.他在一七年九月份的时候呢，出现了大规模的数据泄露事件，影响了一点四三亿的美国用户，还有大量的英国和加拿大的用户。

那今天呢我就来跟你聊一聊x fiice的信息泄露始末。

并且呢对造成本次事件的原因啊进行简单的分析，简单介绍一下事件的背景。

那前一段时间啊，FFS确认黑客利用他系统当中没有被修复的阿帕奇struts里面的漏洞啊来发起攻击，导致了最近这次影响恶劣的大规模的数据泄露事件。

在美国呢有三大信用报告机构，其中艾克face呢是历史最悠久的一家。

那他们的主要业务呢是把美国、加拿大，还有其他各个国家的公民信用信息呢提供给他们的客户。

那保险公司啊就是他的一个主要的客户。

所以他们的业务啊涉及生命、汽车、火灾、医疗保险啊等等各个方面。

那此外呢，acrifse的服务还包括提供入职背景调查、保险理赔调查以及对企业的信用调查等等。

因为acacffice他掌握了多个国家公民的信用档案，包括公民的学前学校经历、婚姻、工作健康，还有政治参与情况等等大量的隐私信息。

所以啊这次的信息泄露影响面积很大，而且呢性质特别恶劣。

那这次信息泄露呢，影响了美国大概一点四三亿的消费者。

那除了美国以外呢，估计还有四千四百万的英国客户和大量的加拿大客户啊也受到了影响。

那因为这件事呢呢ICO face的市值啊瞬间蒸发掉三十多亿美元。

那根据华尔街日报的观察呢，从九月八日eq fess对外披露有黑客入侵以来呢，全美联邦法院呢已经接到了超过一百起的诉讼。

那针对这次事件啊，克ef斯的fec EO维查smith表示，公司啊正在对整体的安全操作进行全面彻底的审查。

那事件发生不久之后呢，acrifice啊就发表了一篇声明。

声明中指出啊，黑客呢是利用了某个web应用程序中的漏洞来获取文件。

那随后经过调查呢，发现黑客啊利用的是阿帕奇struss当中编号为CVE二零幺七五六三八的漏洞。

那戏剧性的是这个漏洞啊，在一七年三月份啊就已经公开了。

那它的危险系数啊定为最高分十分。

阿帕奇随后发布的struss二点三点三二和二点五点十点一版本啊，特地针对这个漏洞进行了修复。

而eco feas呢，它在漏洞公布后的两个月都没有去升级struts的版本，导致五月份啊黑客利用了这个漏洞进行了攻击，泄露了敏感数据。

那事实上呢，除了拉帕奇导致的漏洞，黑客还使用了一些其他手段来绕过外ve啊，也就是web应用程序防火墙。

那有一些管理面板呢，居然在烧断搜索引擎上是直接可以搜到的那更让人大跌眼镜的是，研究人员分析啊x file所谓的管理面板，甚至都没有采取任何的安保措施。

美国的一位安全专家brown crabps就在他的博客中爆掉x face的其中一个管理面板，使用的用户名和密码都舍得命，因为ecffse它的管理面板能被随意访问，那么获取数据库密码也就轻而易举了啊。

虽然管理面板也会加密数据库密码之类的东西，但是密钥呢却和管理面板保存到了一起。

但从这一点看啊，就算是这么重要的征信机构，achifise安全意识之弱可见一斑。

据了解呢，克efeice的某个阿根廷的员工门户啊也泄露了一万四千条记录，其中呢就包括了员工凭证和消费者的投诉。

本次事件发生之后呢，就有人列举了x fiice系统里面的一系列漏洞，包括一年以前就向公司报告了。

但始终没有被修复的跨站脚本漏洞，那这些呢更是将克斯推向了风口浪尖。

那这里呢我讲一下导致漏洞出现的阿帕奇struss,那它是世界上最流行的java web服务器框架之一。

它最初呢是扎克卡塔项目中的一个子项目。

后来在二零零四年三月啊成为了阿帕奇基金会的顶级项目。

Struas呢通过java servert和JSP技术，实现了基于java e web应用的MVC模式的应用框架，也是当时第一个采用MVV模式的web项目开开框框架。

那随着技术的发展和认知的提升呢，的的设计呢也意识到了strustruss的一些缺陷。

所以呢就有了重新设计的想法。

在两千零六年呢，另外一个MVC框架webwork.那他的设计者呢和struss团队一起开发了新一代的struts框架，它整合了y work和struss的优点，同时命名为struss two.那原来的struss框架呢就改名为struss one了。

In fy work和struts这两个框架都有比较强大的用户基础。

所以struts two一发布啊就迅速的流行开了。

那到了二零一三年四月呢，阿帕奇struas的项目团队啊发布了正式通知，宣告struss one结束了他的使命，并表示接下来啊官方将不会继续维护了。

此后呢，阿帕奇struss one框架就正式的退出了历史舞台。

那与此同时呢，struts社区表示，他们将专注去推动struts two框架的发展。

那从这几年的版本发布情况来看呢，刷速的迭代速度啊确实不慢。

仅仅在二零一七年啊就发布了九个版本，平均一个月一个。

但是从安全角度来看呢，strust two啊可以说是漏洞百出。

所以在框架的功能基本已经健全的情况下呢，这些年的strust two的更新和迭代啊，基本上都是围绕漏洞和bug进行修复。

仅仅从官方公开的安全公告中呢，就可以看到，这些年啊就有五十三个漏洞预警。

包括大家熟知的ICE啊，也就是远程代码执行高危漏洞。

那根据网络上一个没有被确认的数据，中国的struts应用分布呢在全球范围内啊排名第一。

第二是美国，然后呢是日本。

但是在中国没有打补丁的struss的数量几乎是其他国家的总和。

特别呢是在浙江、北京、广东、山东、四川这些地方还涉及了教育、金融、互联网，还有通信等等各种行业。

所以在二零一七年七月的时候呢，国家信息安全漏洞共享平台啊还发布了一个安全公告，要求大家呀做好阿帕奇stars two的高危漏洞管理和应急工作。

那大致意思呢是希望企业能够加强学习，提高安全意识，同时呢完善相关的流程，协同自律。

而这次acriffice招招的漏洞编号呢是CVE二零幺七五六三八。

我文文章里呢展示出了官方披露的信息，你可以点开看一下。

简单来说呢这就是一个RCE啊，也就是远程代码执行漏洞。

最初呢是被安恒信息的那个证发现的，然后啊在三月七日进行了上报。

从介绍中呢可以看出来，这次漏洞的原因啊是阿帕奇strust two里面的jakarta. Part part paszzer插件存在了一个RCE.攻击者呢可以在这个插件上传文件的时候啊，修改RTTP请求头当中的content types段来触发漏洞。

最后呢远程执行代码。

嗯，说白了就是在contect type中呢注入一段OGL表达式啊，就可以执行命令一行python命令啊，就可以执行服务器上的shell脚本。

我在文章中呢也给出了相应的代码，你可以去文中看一下，在github上呢也有相关的代码。

我同样呢在文章中给了两个链接，方便你查看。

那注入点呢是在jakta multipart request这个类的build error message函数中。

那这个函数里面的localist taxt点点tutufun tag的方法会执行OGL表达式，从而导致命令的执行，最终影响到了客户。

因为默认情况下呢，这卡塔尔是开启的，所以这个漏洞的影响范围啊非常广泛啊。

当时官方给出的解决方案呢是尽快升级到不受影响的版本。

那看来except的同学啊并没有注意到啊，或者就根本没有认识到它的严重性。

另外呢在九月五日和七日，struas官方啊又接连发布了几个严重级别的安全漏洞。

公告分别是CVE二零幺七九八零四九八零五九七九三和幺二六幺幺。

那这里面啊最容易被利用的应该是CVE二零幺七九八零五。

那他呢，是由国外安全研究组织LGTM点com的安全研究人员发现的又一个远程代码执行漏洞。

漏洞的原因呢是strust two的rest插件。

它在使用叉stream handdler进行反序列化操作的时候呢，没有经过任何代码的过滤。

所以在反序列化菜ammail paylows的时候呢，就有可能导致远程代码执行。

我在文章里呢也给出了这次官方披露的信息。

那在阿帕奇软件基金会的项目管理委员会的回应文章中呢，官方啊也对事故原因进行了分析和讨论。

首先呢依然不能确定泄露的源头啊是struts的问题导致的。

其次呢，如果确实是源于struts的漏洞，那么原因呢，有可能是这些漏洞啊早就公开了。

但是acquify的服务器没有打补丁，导致了被攻击者利用。

那也有可能是攻击者利用了一个目前还没有被发现的漏洞。

根据推测呢，这个声明提出黑客所使用的软件漏洞呢可能。