En una actualización publicada en su página web sobre violación de seguridad, Equifax ha dicho que los hackers utilizaron un error de seguridad de Apache Struts para acceder a sus servidores. Más tarde pudieron robar datos de más de 143 millones de clientes. La confirmación de Equifax viene después de que un informe de la firma de investigación de Baird haya circulado durante la semana pasada culpando el mismo defecto.

Equifax confirma la vulnerabilidad de Apache Struts

Equifax ha estado investigando intensamente el alcance de la intrusión con la ayuda de una firma líder en seguridad cibernética independiente para determinar a qué información se accedió y quién ha sido afectado. Sabemos que los delincuentes explotaron una vulnerabilidad de la aplicación de los sitios web de Estados Unidos. La vulnerabilidad era Apache Struts CVE-2017-5638. Continuamos trabajando con la policía como parte de nuestra investigación criminal, y compartimos indicadores de compromiso con ellos.

En el momento en que se descubrió, en marzo de 2017, la vulnerabilidad de Apache Struts CVE-2017-5638 fue un zero-day, un término utilizado para describir los errores de seguridad explotados por los atacantes, pero que los vendedores no conocen o no tienen un parche liberado.

Equifax no reveló la fecha exacta en que ocurrió este ataque de seguridad, sino solamente cuando se dio cuenta de ello. Esto ocurrió el 29 de julio de 2017. No está claro si Equifax fue violada antes que el zero-day de Struts se hiciera público, o meses después de que Apache hiciera un parche disponible.

Identificados los hackers

Habiendo identificado a los hackers que explotaron la vulnerabilidad, es bastante obvio que Equifax sabe cuándo ocurrió el ataque también, pero se está impidiendo actualmente revelar esta información.

La fecha real de la brecha será el punto clave que determinará la responsabilidad en las decenas de demandas colectivas presentadas en la última semana.

El equipo de Apache Struts lanzó un parche para CVE-2017-5638 el 6 de marzo de 2017.

Después de su divulgación pública, la vulnerabilidad CVE-2017-5638 fue sometida a una gran explotación por parte de numerosos grupos criminales, entre ellos uno que estaba atacando servidores Struts para instalar el ransomware de Cerber en ordenadores conectados en red. Ese grupo consiguió al menos 100.000 dólares de Bitcoin.

Otra vulnerabilidad

Dos días antes de que Equifax anunciara su incumplimiento de seguridad, el equipo de Apache Struts corrigió otra vulnerabilidad crítica: CVE-2017-9805. En un comunicado, la Fundación Apache declaró que este segundo defecto no podría haber sido responsable de la violación de Equifax, a pesar de algunos informes erróneos.

Sin embargo, esta segunda vulnerabilidad de Struts es tan peligrosa como la primera, y esta es la razón por la que Cisco está auditando todos sus productos de software para ver si están afectados.

Apache Struts es una tecnología ampliamente utilizada entre las compañías Fortune 500, lo que la convierte en la superficie de ataque perfecta para los hackers que quieren dirigirse a grandes corporaciones.

Struts es un framework MVC de código abierto para Java, similar a lo que Ruby on Rails es para Ruby y lo que Symfony y Laravel son para PHP. Ayuda a los desarrolladores a crear aplicaciones complejas mediante la reutilización de componentes para determinadas tareas.