Beveiligingsonderzoekers van lgtm.com laten in een blogbericht weten een zeer ernstig lek gevonden te hebben. Daardoor zouden de data van de grootste bedrijven ter wereld kwetsbaar zijn, waaronder vliegtuigmaatschappijen, financiële instituten en websites voor social media. Het gaat om bedrijven in de Fortune 500, een ranglijst van grootste bedrijven ter wereld.

Door de kwetsbaarheid kan een aanvaller op afstand code uitvoeren op servers die applicaties aansturen via de REST-plugin van Apache Struts. Volgens de onderzoekers zijn alle versies van Struts vanaf 2008 geïnfecteerd. Een hacker zou uitsluitend een webbrowser nodig hebben om zijn aanval uit te voeren. Tegenover ZDNet laat Bas van Schaik, wiens software gebruikt werd voor het ontdekken van de kwetsbaarheid, weten niet genoeg te kunnen benadrukken hoe ongelofelijk makkelijk het lek te misbruiken is.

Een hacker kan achter zeer gevoelige data komen door de kwetsbaarheid. Zo kan er na het verbinden met de databaseserver alle data geraadpleegd of verwijderd worden. Een organisatie zou er zelfs niets van merken totdat het te laat is. De beveiligingsonderzoekers komen dan ook met een patch, terwijl ook de bedrijven hun infrastructuur moeten repareren. Er wordt dus werk gemaakt van de oplossing, maar er zullen nog veel bedrijven kwetsbaar zijn totdat er een patch voor hun systeem is doorgevoerd.

Getroffen bedrijven

Zo zijn er verschillende websites van de overheid die te maken hebben met de kwetsbaarheid. Onder meer de federale belastingdienst van de Verenigde Staten, ook wel bekend als de Internal Revenue Service, en het Department of Motor Vehicles van Californië behoren daartoe. Ook multinationals zoals Virgin Atlantic en Vodafone gebruiken de software en zijn mogelijk kwetsbaar voor het lek.

De lijst van bedrijven waarvan bekend is dat ze de REST plugin gebruiken zou slechts het topje van de ijsberg zijn, zo beweert Van Schaik. Volgens analist Fintan Ryan zou er zelfs zo’n 65 procent van de Fortune 500 potentieel geïnfecteerd zijn. Ryan baseert zijn uitspraak op het gebruik van Struts in de lijst van grote bedrijven. De Fortune 500 wordt ingevuld door allerlei bedrijven die ook in Nederland actief zijn. Te denken valt aan onder meer Apple (plek drie), General Motors (plek 8) en Alphabet (plek 27). Dat wil niet zeggen dat zij ook kwetsbaar zijn, al is het van bijvoorbeeld Microsoft, Google, Dell en NASA wel bekend.