美国司法部起诉中国进行“网络攻击”。故事要从Struts漏洞说起。相互串谋闯入Equifax的计算机网络并获得对这些计算机的未授权访问并窃取大约1.45亿美国受害者的敏感个人身份信息。Equifax是美国三大征信机构之一,也是历史最悠久的。它包括全球8亿多消费者和近9000万家企业的私人信息。美国的信用评分广泛应用于经济和社会运作。因此,该事件对Equifax影响巨大,Equifax股价也下跌超过30%,市值缩水约53亿。美国司法部公布了Equifax遭受网络攻击后的照片。为了安抚和补偿受灾群众,Equifax公司出资7亿安抚受灾群众。检查他们的个人信息是否被盗(https://eligibility.equifaxbreachsettlement.com/en/eligibility)。随后,Equifax邀请美国著名网络安全公司FireEye的子公司Mandiant参与事件调查。MandiantCompany对于很多小伙伴来说并不陌生。这家公司有话要说。2.起诉书分析Equifax证实,黑客在2017年5月中旬和7月下旬入侵了他们的数据库系统,泄露了包括姓名、社会保险号、出生日期、地址等信息。分析Equifax数据泄露的原因,其中一个重要的原因是Equifax未能修补已知的严重漏洞,使其系统面临145天的风险。长期以来,官方一直没有公布“入侵者”利用什么漏洞侵入了Equifax的网站。然而,美国司法部在起诉书中公布了入侵的细节,让我们先来看看这个故事的开头……美国司法部起诉书中的红线是重点,翻译过来就是“入侵者利用ApacheStruts漏洞将webshel??l上传到Equifax的服务器。”对于这个说法,相信小伙伴们都能猜到,“入侵者”利用了ApacheStruts远程代码执行漏洞。三、ApacheStruts漏洞分析1、漏洞判定Struts2是基于MVC模型的第二代Java企业级Web应用框架。一般使用Struts2框架的公司都是比较知名的大公司。Struts2连续曝出多个RCE漏洞,也饱受诟病。2017年ApacheStruts2被曝存在远程命令执行漏洞,漏洞编号为S2-045,CVE编号为CVE-2017-5638,影响范围为Struts2.3.5–Struts2.3.31Struts2.5–支柱2.5.10。该漏洞允许恶意访问者执行远程命令注入,导致系统执行恶意命令,造成黑客入侵,从而威胁服务器安全,影响较大。结合Equifax被网络攻击的时间(2017年5月),“入侵者”利用S2-045漏洞成功在Equifax的服务器上上传了一个webshel??l,进而打开了更为广阔的内网渗透之路。2、2017年爆发的Struts2的exploit已经复现,网上也有很多分析资料,小伙伴们可以参考学习。这里主要推荐一款工具,就是大名鼎鼎的K8Struts2利用工具。这个工具汇集了2011年到2017年所有的Struts2漏洞,非常方便我们利用。四、主要启示1、漏洞修复速度对网络安全至关重要。Equifax拥有强大的安全力量,但还是受到了S2-045漏洞的打击,这说明Equifax在S2-045漏洞曝光后并没有第一时间修复公司的漏洞,让“入侵者”有机可乘的优势。漏洞响应速度应该成为衡量公司网络安全的重要指标之一,甚至需要成立专业的团队来负责。这正应了我们老祖宗的一句古话:“落后就要挨打”。2.反制措施对于阻止网络攻击至关重要。在构建网络安全体系时,不仅要注意实时防御,防止黑客入侵,还要注意记录日志、痕迹、命令执行等。退一步说,就算是被入侵了,还是可以分析出入侵者的。就像美国超强的反制能力一样,也算是对攻击者的警告和威慑!
