Vulnerabilidad en Apache Struts CVE-2017–5638 utilizada por atacantes, comprometió datos de 143 millones de usuarios de Equifax

Sobre Equifax

Equifax es una compañía global de soluciones de información que utiliza datos únicos confiables e innovación analítica. Sus clientes comerciales incluyen a minoristas, compañías de seguros, proveedores de atención médica, servicios públicos, agencias gubernamentales, así como bancos, cooperativas de crédito, compañías de finanzas personales y otras instituciones financieras. La compañía organiza, asimila y analiza datos de más de 820 millones de consumidores y más de 91 millones de empresas en todo el mundo. Su base de datos incluye datos de empleados aportados por más de 7.100 empleadores.

Incidente de Ciberseguridad

Equifax indica que la brecha fue parcialmente descubierta el 29 de julio de 2017 cuando su equipo de seguridad observó “tráfico sospechoso” en su portal de resolución de disputas en EEUU. La empresa intentó proteger el sitio desactivando los puertos de entrada y salida de datos, pero al día siguiente, 30 de julio, detectó nueva actividad sospechosa, que motivó la decisión de desconectar totalmente el servidor de Internet.

Una exhaustiva revisión concluyó que los atacantes tuvieron acceso a la red de Equifax entre el 13 de mayo y el 30 de julio de 2017. Este acceso fue posible debido a que los administradores de sistemas, por descuido u olvido, no aplicaron el parche a sus aplicaciones basadas en el framework de desarrollo Apache Struts. En concreto, no instalaron el parche que corregía la vulnerabilidad identificada como CVE-2017-5638. La vulnerabilidad había sido publicada como “0-Day”; es decir, que no contaba de inmediato con un parche disponible, factor que obliga a las empresas afectadas a tomar precauciones de forma rápida.

Vulnerabilidad en Apache Struts — CVE-2017–5638

La vulnerabilidad CVE-2017–5638 permite a atacantes remotos ejecutar comandos del sistema operativo a través peticiones HTTP.

Compromiso

El incidente afecta potencialmente la información personal relacionada con 143 millones de consumidores estadounidenses. Principalmente nombres, números de Seguro Social, fechas de nacimiento, direcciones y en algunos casos, números de licencia de conducir. Además, los atacantes accedieron a números de tarjetas de crédito de aproximadamente 209.000 consumidores de los Estados Unidos y ciertos documentos de disputas con información de identificación personal para de 182.000 consumidores estadounidenses.

Equifax también identificó acceso no autorizado a información personal limitada para ciertos residentes de Reino Unido y Canadá.

Comunicado Oficial

En su nota de prensa del viernes 15/09/17, Equifax asegura haber estado consciente de la vulnerabilidad y del parche de marzo, que se esforzó por identificar y parchear los sistemas de la infraestructura de TI de la compañía. Este esfuerzo fue insuficiente ya que la empresa no parcheó el sistema que finalmente fue vulnerado por los atacantes.

En la misma nota de prensa Equifax anuncia el despido con efecto inmediato de sus CIO (Chief Information Officer) y CSO (Chief Security Officer).

Comunicado

Aprendizaje

Este tipo de incidencia nos llama a la reflexión y nos deja aprendizajes.

  1. Adoptar una postura preventiva que permita identificar vulnerabilidades a tiempo para poder tomar acciones que permitan mitigar el riesgo.
  2. Actividades de pentest y/o análisis de vulnerabilidades no son suficientes, ya que son una fotografía en el momento que se realizó el ejercicio. (En promedio 45 vulnerabilidades son reportadas por día.)
  3. Cuando nos enfrentamos a una vulnerabilidad “0-Day”, es importante habilitar un workaround como actividad paliativa que permita disminuir el riesgo, mientras se dispone de un parche.
  4. Es muy positivo que las organizaciones sean transparente con la información del incidente, tanto el nivel de compromiso que existe y el origen del incidente, como lo ha hecho en este caso Equifax.