Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика

17.04.2016 12:41

Исследователи безопасности из компании Cisco Systems предупредили, что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam, шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем.

На многих поражённых системах используется библиотечное ПО Destiny, через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.

Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".

В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss, предназначенная для тестирования незакрытых уязвимостей в JBoss.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44258-jboss

Ключевые слова: jboss

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, neon1ks (ok), 12:47, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Типа успели? И хардкорда не будет?

1.2, бедный буратино (ok), 12:49, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Из этой новости я узнал, что под виндой есть уязвимости. Вот никогда бы не подумал.

2.3, Аноним (-), 12:54, 17/04/2016 [^] [^^] [^^^] [ответить]	+32 +/–
А я узнал, что существуют сервера под Windows.

3.36, . (?), 00:12, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
IDC утверждают что 45% рынка ... ну и кому верить?! А никому! Никому верить нельзя! Мне - можно ... (С)

3.40, Celcion (ok), 08:03, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
> А я узнал, что существуют сервера под Windows. Евгений Ваганович, перелогиньтесь.

1.4, tehnikpc (ok), 13:14, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
> серверов JBoss, работающих на базе ОС Windows Windows не подходит для серверов.

2.37, . (?), 00:15, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
для дескторов тоже не подходит. Однако ко же и там и там еЁ чуть более чем до много :-\

3.48, Клыкастый (ok), 15:27, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
а шо делать? если есть подходящий кактус и хороший маркеторог, миллионы мышей будут плакать, колоться и грызть.

2.47, Аноним (-), 13:01, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
Если бы не подходилп не юзали бы. Сказано же уязвимая версиия "какой-то фигни", а виндоуст только потому, что удобнее и привычнее трояны клепать, но при желании...

1.15, Аноним (-), 16:05, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
жаба на винде торчит в интернет, это какой-то пугающий кошмаром ужос. Ужос, что информационными технологиями занимаются слабоумные.

2.28, Вареник (?), 20:39, 17/04/2016 [^] [^^] [^^^] [ответить]	+4 +/–
> жаба на винде торчит в интернет, это какой-то пугающий кошмаром ужос. Ужос, > что информационными технологиями занимаются слабоумные. IT-к, запускающий боевой вебсервер мышкой - должен страдать. Как и его наниматели.

1.20, Анонзо (?), 17:33, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>поддерживает только поражение серверов JBoss, работающих на базе ОС Windows. Нахрена это тут надо??

2.24, neon1ks (ok), 18:40, 17/04/2016 [^] [^^] [^^^] [ответить]	+/–
Для поднятия чувства собственной значимости)

3.39, . (?), 00:19, 18/04/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Вы ржёте, а я знаю клиента кто попадает под этот расклад. Вам не скажу, чтоб не пугать, но это полный ППЦ. Отправил им по старой памяти нотис, чё делать будут ума не приложу :-\

4.43, EuPhobos (ok), 08:43, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
Гос учреждения, Сбербанк.. и т.д. и т.п. знаем.. не боимся.. привыкли..

5.49, _ (??), 16:10, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
Ну раз вы смелые :) ... Хороший такой кусище медицины. Вплоть до историй болезней и страховых кейсов.

1.31, ua9oas (ok), 22:06, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А на каком % тех серверов есть антивирусы и насколько они могут заделывать эту дыру в безопасности? (И а если файлы там из за той дыры в безопасности вдруг оказались зашифрованными, то найден ли способ их расшифровать?) И а на каком % тех серверов работает автоматический бэкап данных?

2.42, Celcion (ok), 08:09, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
> А на каком % тех серверов есть антивирусы и насколько они могут > заделывать эту дыру в безопасности? (И а если файлы там из > за той дыры в безопасности вдруг оказались зашифрованными, то найден ли > способ их расшифровать?) > И а на каком % тех серверов работает автоматический бэкап данных? Если сервера стоят не у полных идиотов, то смотрящие в инет сервисы находятся, как минимум, в DMZ (и не одном). И антивирус, разумеется, есть, равно как и общая IDS.

3.46, Michael Shigorin (ok), 11:31, 18/04/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> Если сервера стоят не у полных идиотов [...] антивирус, разумеется, есть Знаете, всё-таки не сочетается.

2.45, Аноним (-), 09:51, 18/04/2016 [^] [^^] [^^^] [ответить]	+/–
ура! Миша Рыцаревъ вернулся!

1.32, Аноним (-), 22:55, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кто бы сомневался. Гoвнобосс, как и любой ынтерпрайз, можно держать только в оффлайне.

1.33, Аноним (-), 22:55, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Где хавту?

1.34, iZEN (ok), 23:01, 17/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Что с WildFly?

2.35, max (??), 23:26, 17/04/2016 [^] [^^] [^^^] [ответить]	+/–
JBoss Community Edition, (or after 2014 know as WildFly) releases of the JBoss Application Server prior to version 6.0.0.M3 are potentially vulnerable to this flaw if the default authentication settings are applied. https://access.redhat.com/solutions/2205341 походу с wildfly все ок, тк. JBoss версии 8 был переименован в WildFly

1.44, EuPhobos (ok), 08:45, 18/04/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну так призовите докторавеба.. Он жаждет, он рвётся, добрый доктор вебболит.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: