美國征信巨頭Equifax近日公開披露，其公司數(shù)據(jù)遭到黑客攻擊并泄露，并且可能會涉及1.43億用戶。而本次泄露信息的內(nèi)容包括個(gè)人信息，例如姓名、住址、出生日期、社會保障號、駕照信息等。受此消息影響，Equifax本周一股價(jià)下跌10.11美元，跌幅8.2%，收于113.12美元。自披露消息之后，其股價(jià)已累計(jì)下跌逾20%，市值蒸發(fā)35億多美元。

從Equifax官方發(fā)布的網(wǎng)絡(luò)安全事件更新公告中可以確認(rèn)，引起此次數(shù)據(jù)泄露的原因是Web框架Apache Struts的一個(gè)漏洞（CVE-2017-5638）。CVE-2017-5638是一個(gè)RCE的遠(yuǎn)程代碼執(zhí)行漏洞，最初是被安恒信息的Nike Zheng發(fā)現(xiàn)的，并于3月7日上報(bào)。這個(gè)漏洞被官方鑒定為嚴(yán)重級別，同時(shí)，在披露的當(dāng)天，Apache 也發(fā)布了新的Struts版本進(jìn)行修復(fù)。但 Equifax 在漏洞出現(xiàn)的兩個(gè)月內(nèi)都沒有修復(fù)，導(dǎo)致 5 月份黑客利用這個(gè)漏洞進(jìn)行攻擊，泄露其敏感數(shù)據(jù)。

而在9月初，Struts官方又連續(xù)發(fā)布了兩份安全公告。第一份安全公告于9月5日發(fā)布，涉及的三個(gè)安全漏洞分別是CVE-2017-9804、CVE-2017-9805和CVE-2017-9793。其中CVE-2017-9805被定性為嚴(yán)重級別，根據(jù)版本迭代歷史推斷，該漏洞已有九年歷史，但直到最近才被發(fā)現(xiàn)，也就是說，自 2008 年以來的所有版本 Struts2 都會受到影響，用戶需要盡快升級。簡單來說，漏洞是由于Struts2的REST插件引起的，其XStream組件存在反序列化漏洞，但Struts2使用帶有XStream實(shí)例的XStreamHandler進(jìn)行反序列化操作時(shí)，沒有進(jìn)行任何類型過濾。

第二份安全公告于9月7日發(fā)布，涉及的漏洞是CVE-2017-12611，漏洞等級是中危，漏洞根因是由于Freemarker標(biāo)簽，當(dāng)用戶在Freemarker標(biāo)簽中使用表達(dá)式常量或強(qiáng)制表達(dá)式時(shí)使用請求值就可能會導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞的報(bào)告作者之一是京東安全團(tuán)隊(duì)的Lupin。

受這些漏洞的影響，思科也在上周連續(xù)發(fā)布了兩個(gè)安全公告，并著手進(jìn)行自身主要產(chǎn)品的安全性審查。據(jù)了解，世界上約65%的財(cái)富100強(qiáng)公司都有使用Struts作為基礎(chǔ)設(shè)施，這其中包括美國國稅局、花旗集團(tuán)、Equifax等。而根據(jù)綠盟科技威脅情報(bào)中心的數(shù)據(jù)得知，中國又是世界上使用Struts框架最多的國家之一，甚至在今年7月，國家信息安全漏洞共享平臺還發(fā)布過關(guān)于做好Apache Struts2高危漏洞管理和應(yīng)急工作的安全公告。

關(guān)于Equifax數(shù)據(jù)泄露的具體詳情可以閱讀這篇新聞，關(guān)于Struts2漏洞的詳細(xì)信息讀者可以在這里進(jìn)一步了解。