阿里云护航金砖五国大会丨金融安全第7期
发布时间:2017-09-13 15:33
摘要: 美国信用评分公司Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会
【金融安全动态】
美国信用评分公司Equifax 被攻击,泄漏1.43 亿用户数据。点击查看原文
概要:泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了Web 应用的漏洞访问了某些文件,Apache Struts 受到的怀疑最多。ApacheStruts 项目今年爆出了两个漏洞,一个是在 3 月,另一个就是在上周。Apache本周对此发表了澄清声明,称在接到漏洞报告之后,已经尽快修复了漏洞。
点评:令人恐慌的,不仅仅是泄露规模之大,和被泄露信息的“隐私”程度,更是因为Equifax是全美最权威的信用评分公司之一,却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉,信息泄露事件会更加频繁,以法律和标准来保护个人信息安全是必然,政府、金融等行业,也需要承担更大的安全责任。
有理由推断,该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律,当隐私违规使得消费者利益受影响,FTC(Federal Trade Commission)有可能会予以20年审计的处罚,另可能涉及不同州的州际法律,对数据泄露的要求和惩罚。
在信用业务管理和信息安全技术方面,无论是市场成熟度还是政府监管,美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看,很多大型企业在技术,内部安全管理方面都缺乏应有的态度和经验。尤其在安全治理层面。从另一个角度来说,通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内,等级保护制度就是一个很好的方式,企业可通过“过等保”这个过程,沉淀出企业安全管理的方法论,从事后亡羊补牢,转换成事前风控,从根源上缓解安全风险。
【相关安全事件】
Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文
概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。
点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。
建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。
目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。
【云上视角】
阿里云护航金砖五国大会。点击查看原文
概要:护航期间,金砖会议官网域名服务0安全事件;重保网站0业务中断、0安全事件;云平台用户网站安全运营0干扰。大会启动前2个月,经相关部门授权,阿里云专家对云上政府类网站做了一次全方位“体检”,找出网站可能存在的漏洞,并出具优化、容灾建议,做到了安全不留死角。本次护航也启用了超长待机的“云博士”向有安全隐患的客户进行通报隐患,确保通知用户环节更简单更快捷更高效,从而让更多安全专家可以集中精力解决难题。
