Kwetsbaarheid waar Equifax door werd geraakt is in maart al gerepareerd.

Het Apache Struts-gat kreeg de allerhoogste CVSS-score (10.0) en werd in maart al in het wild misbruikt. Apache bracht begin maart deze update uit en adviseerde gebruikers dringend om over te stappen. In de maanden voordat Equifax de hack opmerkte (dat was eind juli) was de patch niet toegepast, zo blijkt nu:

We weten dat criminelen een kwetsbaarheid in een webapplicatie hebben misbruikt. De kwetsbaarheid was CVE-2017-563 van Apache Struts. We blijven werken met de autoriteiten als deel van ons onderzoek en hebben indicators of compromise gedeeld met opsporingsdiensten.

De gemiddelde tijd tussen het verschijnen van een patch voor een softwarefout en het implementeren daarvan in het bedrijf is helaas geen kwestie van weken. Zelfs niet van maanden. Cisco berekende vorig jaar dat de gemiddelde tijd tussen patch en uitrol bij bedrijven drie en een half jaar beslaat. Sommige gaten worden sneller gedicht, anderen blijven zelfs voor eeuwig openstaan.

Dit is niet alleen een probleem in de IT-wereld, waar we worden overspoeld met patches die allemaal geprioriteerd, getest en uitgerold moeten worden; consumenten worstelen met trage update-issues - zij het dat het daar vaker draait om lakse gebruikers dan om de patchsores die IT'ers parten spelen.