Die Struts 2 Datenpanne war zu 100 % vermeidbar

Im September 2017 hat Equifax eine Cyber-Datensicherheitsverletzung von erheblichem Ausmaß gemeldet. Equifax, ein 1899 gegründetes Finanzdienstleistungsunternehmen mit Hauptsitz in Atlanta, Georgia, ist die größte Wirtschaftsauskunftei der USA. Von dem Angriff, der laut Unternehmen von Mitte Mai bis Juli 2017 erfolgt ist, waren die persönlichen Daten von rund 145 Millionen Equifax US-Kunden, deren komplette Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen Führerscheinnummern und Kreditkartennummern betroffen, ebenso Kunden in Großbritannien und Kanada.

Unser Partner Sonatype, Steward des Central Repository, das Standard-Repository für Apache Maven, SBT und andere Build-Systeme, hat zu dem Datendiebstahl eine Einordnung der Fakten aus seiner Sicht vorgenommen:

  1. Apache Struts:  Apache Struts ist ein weit verbreitetes Open Source und free Model-View-Controller (MVC) Framework für Java.  Seine Entwicklung und Wartung liegt in den Händen einer aktiven und sehr verantwortungsbewussten Community von freiwilligen Beitragenden. Das Apache Struts Projekt hat eine lange und gut dokumentierte Geschichte zu Sicherung, Härten und Wartung der Software, die es produziert.

  2. Struts Vulnerabilitäten:  In der Woche des 4. September hat das Team des Apache Struts Projekts zwei verschiedene, kritische  Schwachstellen in Struts 2 kommuniziert, die bei Applikationen eine ferngesteuerten Ausführung von Code und den direkten Zugriff auf kundenkritische Daten ermöglichen könnten. In beiden Fällen und entsprechend einer seit langem bestehenden Praxis, hat das Apache Struts Team Fixes vor der Veröffentlichung der Schwachstellen bekannt gegeben.

  3. Aufdeckung des Equifax Datendiebstahls:  Unabhängig davon hat Equifax in der gleichen Woche bekannt gegeben, Opfer eines massiven Datenhacks geworden zu sein, bei dem sensible Daten gestohlen worden seien. Equifax sagte, dass die Datenpanne zwischen Mitte Mai und Juli 2017 stattgefunden habe. Entdeckt wurde der Diebstahl am 29. Juli. Equifax hat die Öffentlichkeit am 7. September informiert und Berichte legen nahe, dass eine Schwachstelle in Apache Struts der Grund für die Sicherheitslücke war.

Sonatype ist sich bewusst, dass man nicht mit Sicherheit sagen kann, was bei Equifax passiert ist, jedoch wisse man, dass Apache Struts eine enorme Erfolgsbilanz aufzuweisen habe, was die Identifizierung von Sicherheitsschwachstellen und die zeitnahe Bereitstellung von entsprechenden Updates angehe.

Unternehmen wie Equifax, die Open Source als Innovationsbeschleuniger nutzen, übernehmen die Verantwortung, im eigenen Haus für die entsprechende Hygiene zu sorgen und Sicherheitsupdates rasch nach deren Bereitstellung zu installieren. Viel zu lange haben sich Unternehmen auf netzwerk-basierte Cyber-Sicherheitstools verlassen, um die Unternehmensumgebung zu schützen. Die Ereignisse bei Equifax können als schonungslose Erinnerung daran dienen, dass Perimeter-Abwehr zum Schutz sensibler Daten an sich nutzlos ist, wenn tatsächlich Hacker zunehmend Schwachstellen angreifen, die im Application Layer existieren.

80 % bis 90 % jeder modernen Applikation bestehen aus Open-Source-Komponenten. Um unnötige Risiken zu vermeiden, MÜSSEN Unternehmen automatisch und fortlaufend Herr über die  Qualität von Open-Source-Komponenten und Bibliotheken Dritter innerhalb ihrer Software Supply Chains sein. Dieses Problem weiterhin zu ignorieren, ist fahrlässig.

In diesem Video erläutert Ilkka Turunen, Solutions Architect bei  Sonatype, wie Nexus Lifeycycle ein Unternehmen alarmiert hätte, das eine Open-Source-Komponente mit einer bekannten Schwachstelle verwendet; und wie die Schritte hin zur Mängelbeseitigung aussähen. https://youtu.be/l7WHQp-Zf0w

 

Weitere Quellen:

State of the Software Supply Chain Report 2017
122.000 Open-Source-Projekte, 7.500 Entwicklungsteams, 17.000 Anwendungen:
http://www.aservo.com/news/state-software-supply-chain

Kostenfreier Application Health Check
Applikationen scannen und mehr erfahren:
http://www.aservo.com/know-how/kostenfreier-application-health-check