Apache Strutsプロジェクト管理委員会(PMC)は9月9日(米国時間)、「Apache Struts Statement on Equifax Security Breach : The Apache Software Foundation Blog」において、先日約1億4000万人分のデータ漏洩の可能性が発表されたEquifaxのセキュリティインシデントに関して声明を発表した。同インシデントでは、Apache Strutsの脆弱性が悪用されたと発表があったが、対象の脆弱性がどれかは現在のところ不明だと説明している。
Quartz.comに掲載された記事「The hackers who broke into Equifax exploited a flaw in open-source server software」では、CVE-2017-9805に関連する脆弱性が悪用された可能性があると推測しているものの、この脆弱性が発表されたのは9月4日とされており、Equifaxが実際に攻撃を受けた時期はこの脆弱性が発見される前とされている。Apache Struts PMCは、攻撃を受けた段階でCVE-2017-9805が使われていたのであれば、ゼロデイ攻撃を受けたことになると指摘。また、それ以外の既知の脆弱性が悪用されていた可能性も考えられるとしている。
Apache Strutsは米国でかなりの数のサイトで利用されていると推測されている。これは日本も同様と考えられており、情報処理推進機構は「Apache Struts2 の脆弱性対策情報一覧|情報セキュリティ」といった専用のページを設けて情報提供を行っている。Apache Strutsを利用している場合、セキュリティアドバイザリが発表された際は迅速に内容をチェックするとともにアップデートを適用することが望まれる。