天天看點

金融安全資訊精選 2017年第七期:Equifax 洩漏 1.43 億使用者資料,Struts2 REST插件遠端執行指令漏洞全面分析,阿裡雲護航金磚五國大會

金融安全資訊精選 2017年第七期:Equifax 洩漏 1.43 億使用者資料,Struts2 REST插件遠端執行指令漏洞全面分析,阿裡雲護航金磚五國大會

<b>【金融安全動态】</b>

<b>美國信用評分公司equifax 被攻擊,洩漏</b>

<b> </b>

<b>概要:</b>洩露的資訊包括使用者社會安全碼、駕照資訊、生日資訊、信用卡資料等。據sec(u.s. securities and exchange commission)的檔案,三位euifax董事已經售出了“一小部分”所持股票。equifax 稱黑客利用了

web 應用的漏洞通路了某些檔案,apache struts 受到的懷疑最多。apache

struts 項目今年爆出了兩個漏洞,一個是在 3 月,另一個就是在上周。apache本周對此發表了澄清聲明,稱在接到漏洞報告之後,已經盡快修複了漏洞。

<b>點評:</b>令人恐慌的,不僅僅是洩露規模之大,和被洩露資訊的“隐私”程度,更是因為equifax是全美最權威的信用評分公司之一,卻在網絡攻擊中“信用徹底崩塌”。随着針對性攻擊變本加厲,資訊洩露事件會更加頻繁,以法律和标準來保護個人資訊安全是必然,政府、金融等行業,也需要承擔更大的安全責任。

有理由推斷,該事件有可能成為近年來在廣度和深度上最嚴重的資料洩露事件之一。根據國外法律,當隐私違規使得消費者利益受影響,ftc(federal trade commission)有可能會予以20年審計的處罰,另可能涉及不同州的州際法律,對資料洩露的要求和懲罰。

在信用業務管理和資訊安全技術方面,無論是市場成熟度還是政府監管,美國都有很多成熟的經驗。但從此次事件的體量、發生原因和高層的表現來看,很多大型企業在技術,内部安全管理方面都缺乏應有的态度和經驗。尤其在安全治理層面。從另一個角度來說,通過法律和監管措施去推動企業提升安全管理水準才是長遠之計。在國内,等級保護制度就是一個很好的方式,企業可通過“過等保”這個過程,沉澱出企業安全管理的方法論,從事後亡羊補牢,轉換成事前風控,從根源上緩解安全風險。

<b>【相關安全事件】</b>

<b>概要:</b>2017年9月5日,apache struts 2官方釋出一個嚴重級别的安全漏洞公告,該漏洞由國外安全研究組織lgtm.com的安全研究人員發現,漏洞編号為cve-2017-9805(s2-052)。

<b>點評:</b>當struts2使用rest插件使用xstream的執行個體xstreamhandler處理反序列化xml有效載荷時沒有進行任何過濾,可以導緻遠端執行代碼,攻擊者可以利用該漏洞構造惡意的xml内容擷取伺服器權限。

建議運維人員或開發人員盡快關注并資産,可以檢查使用了rest插件struts版本是否在受影響範圍内。如果存在,建議您盡快按照以下方式修複漏洞。

目前官方已經釋出更新檔,建議更新到 apache struts2.5.13、apache struts 2.3.34版本。阿裡雲雲盾waf已釋出該漏洞規則,使用者可以通過waf,對利用該漏洞的攻擊行為進行檢測和防禦,最大程度減少安全風險。

<b>【雲上視角】</b>

<b>概要:</b>護航期間,金磚會議官網域名服務0安全事件;重保網站0業務中斷、0安全事件;雲平台使用者網站安全營運0幹擾。大會啟動前2個月,經相關部門授權,阿裡雲專家對雲上政府類網站做了一次全方位“體檢”,找出網站可能存在的漏洞,并出具優化、容災建議,做到了安全不留死角。本次護航也啟用了超長待機的“雲博士”

向有安全隐患的客戶進行通報隐患,確定通知使用者環節更簡單更快捷更高效,進而讓更多安全專家可以集中精力解決難題。

檢視其它行業資訊

<a href="https://yq.aliyun.com/articles/202759?spm=5176.100244.teamhomeleft.4.7v9pen" target="_blank">政府安全資訊精選 2017年第七期 美國權威征信公司發生嚴重資料洩漏 資料安全重要性再突顯</a>

往期回顧

<a href="https://yq.aliyun.com/articles/195679?spm=5176.100244.teamhomeleft.14.7v9pen" target="_blank">金融安全資訊精選 2017年第六期:阿裡雲等3家機關具備cnvd技術組成員機關資格,反欺詐和身份管理是ai安全最熱兩大創業領域,互金安全負責人的安全建設心得</a>

期待聽到您的回報

 金融、政府、遊戲安全資訊精選會通過雲栖社群專欄,

阿裡雲安全微信和微網誌,每周與您見面。

如果您是阿裡雲使用者,

也歡迎通過郵件、釘釘公衆号檢視本周行業資訊。

金融安全資訊精選 2017年第七期:Equifax 洩漏 1.43 億使用者資料,Struts2 REST插件遠端執行指令漏洞全面分析,阿裡雲護航金磚五國大會

讀者調研回報

我們會認真讨論您的每一條建議

并邀請精彩回答者加入vip讀者群