据外媒报道,黑客利用 Apache Struts 2 (Java Web服务器框架) 软件中新发现的漏洞,袭击了加拿大统计局的网站。目前,Candian 政府也证实该局网站已经被黑客入侵和离线超过两天。此外,当局还声称加拿大税务局( CRA ) 网站虽然还没有被黑客入侵,但它存在着和加拿大统计局网站同样的漏洞,因此当局在税收季节的高峰期关闭了该网站。
CRA 发言人帕克斯·萨姆森称,此次事件已经过去了 48 小时,CRA 还在与其他政府部门进行处理,寻求解决方案。CRA 也保证该解决方案会经过严格的测试,尽早恢复在线服务功能。
据加拿大统计局的通信总监 Gabrielle Beaudoin 说,黑客入侵的服务器,并没有存储可用的个人敏感信息,所以黑客的攻击并没有造成数据的丢失。
Veracode CTO 的 Chris Wysopal 表示,该漏洞只需选定 Web 服务器,输入想要运行的命令,即可被黑客利用窃取数据。加拿大政府安全员 John · Glowacki 声称,他们调查这一事件主要是因为,此次不仅威胁到加拿大政府 IT 系统,他们也想借此机会提醒其他国家(使用 struts 2)的政府网站可能也存在着更大的漏洞。
原作者: India Ashok,译者:青楚
from hackernews.cc.thanks for it.