Op 6 maart 2017 kwam Apache met een beveiligingsupdate voor Apache Struts. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties. Ook Equifax maakte gebruik van Struts. Op 10 maart werden de systemen van het bedrijf door aanvallers gescand en ontdekten die een kwetsbare Struts-server van Equifax. Deze server werd vervolgens overgenomen. Twee maanden later op 13 mei wisten aanvallers tijdens een andere aanval toegang tot het online klachtenportaal van Equifax te krijgen, dat ook van Struts gebruikmaakte.

Vanaf dit systeem werden vervolgens andere databases benaderd. In totaal wisten de aanvallers toegang tot 51 databases te krijgen. Middels zo’n 9.000 queries maakten de aanvallers de persoonlijke informatie van 151 miljoen Amerikanen buit. Om detectie te voorkomen besloten de aanvallers de data in kleine hoeveelheden te versturen. Dit gebeurde gedurende een periode van 76 dagen, voordat de aanval door Equifax werd opgemerkt.

Equifax had wel een apparaat geïnstalleerd om het verkeer op kwaadaardige activiteiten te inspecteren. Door een misconfiguratie werd het versleutelde verkeer van de aanvallers gewoon doorgelaten. Het certificaat dat voor de inspectie van het verkeer werd gebruikt was namelijk al tien maanden daarvoor verlopen, waardoor versleuteld verkeer gedurende deze periode niet werd geïnspecteerd. Pas nadat het probleem met het certificaat was hersteld werd de aanval ontdekt.

Mailinglist

De GAO onderzocht hoe de aanvallers toegang tot het systeem konden krijgen en wat ze vervolgens hebben gedaan. Equifax stelt dat het de waarschuwing voor het Struts-lek naar systeembeheerders binnen de organisatie had doorgestuurd. Er werd echter met een oude mailinglist gewerkt, waardoor het bericht niet terechtkwam bij de systeembeheerder die voor de klachtenportaal verantwoordelijk was. Daarnaast werd er een week na de aankondiging van het Struts-lek een scan uitgevoerd, maar wist deze scan de kwetsbaarheid in het klachtenportaal niet te detecteren.

Verder stelt de GAO dat Equifax geen beperkingen had ingesteld wat betreft het aantal uit te voeren queries op de databases en dat de databases niet van elkaar gescheiden waren. Door het gebrek aan segmentatie konden de aanvallers zo toegang tot andere databases krijgen. Het ging onder andere om een database met onversleutelde inloggegevens die toegang tot databases met persoonlijke informatie gaven. Het rapport gaat verder in op de nasleep van het incident en welke maatregelen Equifax na afloop heeft getroffen. Conclusies of aanbevelingen worden niet in het rapport gegeven.

Bron: Security.nl