Registrierungspflichtiger Artikel

Open Source Security Management Schlamperei mit Open Source-Sicherheitslücken

Autor / Redakteur: Lou Shipley / Peter Schmitz

Im September 2017 gab das US-amerikanische Wirtschaftsauskunftsunternehmen Equifax – quasi die amerikanische Schufa – einen großen Cybersicherheitsvorfall zu, der möglicherweise rund 150 Millionen US-amerikanische, kanadische sowie britische Konsumenten betrifft und den CEO und Chairman Richard Smith seinen Job kostete. Dieser Vorfall hätte nie passieren dürfen.

Firma zum Thema

Die meisten Unternehmen verfügen über keine automatisierten Prozesse um Patches und Fixes für bekannte Open-Source-Schwachstellen zu überwachen.
Die meisten Unternehmen verfügen über keine automatisierten Prozesse um Patches und Fixes für bekannte Open-Source-Schwachstellen zu überwachen.
(Bild: Pixabay / CC0 )

Kriminelle nutzten eine Schwachstelle in einer Webseitenapplikation aus und erhielten dadurch von Mitte Mai bis Juli dieses Jahres Zugriff auf die Daten von Equifax. Das Unternehmen hat bestätigt, dass es sich bei der ausgenutzten Schwachstelle um die bereits bekannte CVE-2017-5638 in Apache Struts handelt.

Apache Struts ist ein kostenloses Open-Source-Framework, das beim Aufbau von Webseiten und Webanwendungen verwendet wird. Apache Struts ist in Fortune 100-Unternehmen weit verbreitet – einschließlich der Branchen Bildung, Staat, Finanzdienstleistungen, Einzelhandel und Medien. Die Apache Struts-Schwachstelle wurde bereits im März dieses Jahres mit einem Patch geschlossen, trotzdem war sie bei Equifax noch offen.