JBoss漏洞易传播勒索软件,未打补丁的系统看着办吧(1)

日期: 2016-05-09 作者:Peter Loshin翻译:邹铮 来源:TechTarget中国 英文

目前多达320万计算机运行着未打补丁版本的JBoss中间件软件,这意味着这些计算机很容易被用于传播SamSam和其他勒索软件,这也突出了一直存在的未打补丁系统的风险问题。在扫描包含JBoss漏洞的受感染机器后,思科Talos发现超过2100个后门程序被安装在关联近1600个IP地址的系统中。

Talos报告称,未打补丁的JBoss正在被一个或多个webshell利用,webshell是可上传到Web服务器并对该服务器进行远程管理的脚本。该报告表明,企业需要对修复生产软件非常警惕。

“在这个过程中,我们了解到在受影响的JBoss服务器中通常有不只一个webshell,”Talos威胁研究人员Alexander Chiu写道,“我们看到很多不同的后门程序,括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。这意味着很多这些系统已经由不同的攻击者进行多次攻击。”

其中受影响的企业包括学校、政府和航空企业等,有些受影响系统在运行Follett Destiny(这是追踪学校图书馆资产的管理系统,被用在全球各地的K-12学校)。Follett已经确定了这个问题,并发布了JBoss漏洞的修复程序,并且还与Talos合作来分析攻击者使用的webshell。

“Webshell是重大的安全问题,因为它表明攻击者已然攻击了该服务器,并可远程控制它,”Chiu写道,“并且,受影响的Web服务器可能被攻击者利用,以在内部网络横向移动。”

Talos建议企业尽快修复受影响的设备,首先应该移除对外部网络的访问以防止攻击者访问该系统,然后重新镜像该系统或者从备份中恢复,接着升级软件版本,再重新应用到生产环节。

根据Talos表示,最重要的是确保软件补丁及时更新。“攻击者在选择攻击目标时并不会排除旧系统,因为这可以帮助他们赚钱,”Cylance公司安全研究人员Derek Soeder表示,“特别是对于不加选择的攻击者,即便易受攻击的系统只有小部分暴露在互联网中,也值得他们发动攻击。”

根据威胁管理公司PhishMe研究人员Sean Wilson表示,Web框架特别容易受到攻击。

“我们已经看到攻击者使用webshell很长一段时间,通常瞄准WordPress和Joomla等Web框架,因为这些已经得到个人用户的广泛部署和使用,”Wilson表示,“它们有成熟的插件生态系统,可包含基本框架进行部署,也许不太容易受攻击,不过多个过期的插件就可能包含可被攻击者利用的漏洞。”

JexBoss webshell工具以及旧的JBoss漏洞

受影响的服务器中发现的webshell是JexBoss,这是用于测试和利用JBoss应用服务器中漏洞的开源工具。JexBoss可在GitHub找到,并具有渗透测试和审计等合法用途。Talos报告称,JexBoss被用于传播SamSam勒索软件变体。传统的勒索软件攻击是通过网络钓鱼或漏洞利用工具包来传播,而SamSam则是在服务器上获得立足点,然后在受害网络中横向传播。

JBoss是由Red Hat Software发布的中间件,JBoss的漏洞在2010年被发现并修复,被命名为CVE-2010-0738。Talos报告称这个漏洞仍然在被用于传播SamSam勒索软件。

专家们一致认为,大量易受攻击的系统表明企业需要定期修复已安装的软件。

“这些补丁于多年前发布,但IT专业人员和个人通常没有及时安装安全补丁,”数据保护公司Carbonite公司首席传播者Norman Guadagno表示,“在这种情况下,攻击者发现攻击教育IT系统的机会,但正如我们所看到的,这并不分行业。这也再次提醒我们为什么IT管理员需要重新审视其安全状态和政策。”

处理补丁问题

端点安全初创公司Barkly Protect首席执行官Jack Danahy表示:“补丁管理和保持系统更新并不容易。系统和应用之间存在复杂的依存关系,这让更新决策变得很困难。”JBoss漏洞让攻击者可攻击学校,但需要更新的应用是Follett的Destiny图书馆管理系统。如果系统管理员没有意识到Destiny依赖于JBoss,JBoss漏洞的存在可能不会让他们意识到更新其图书馆管理系统的紧迫性。

在这里,修复可能是关键,但对于资源有限的企业来说,这并不总是容易的事情。“资源匮乏的企业在规划项目成本时应该考虑一些未来的修复成本,”CASB网络安全研究主管Yishai Beeri表示,“定期修复可缓解很多长期存在的漏洞利用,最起码,应该优先修复面向公众的系统。”

“随着时间的推移,易受攻击系统的数量会越来越多,”Soeder说道,“有时候是由于疏忽,通常企业并不知道他们正在运行的所有系统,这有可能因为易受攻击的软件被嵌入到另一个产品中去。”Soeder解释说,软件未及时修复还有很多其他原因,包括系统管理员没有意识到他们运行的软件包含漏洞或者他们并没有从供应商处获得更新。

在一些情况下,管理员没有足够的资源来部署补丁,或者他们试图修复补丁时,补丁并未生效;“有时候这就像在修复后忘记重启,”Soeder称,“攻击者是机会主义者,而这些疏忽都是他们的机会。”

继续阅读《JBoss漏洞易传播勒索软件,未打补丁的系统看着办吧(2)》

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Peter Loshin
Peter Loshin

网站编辑

翻译

邹铮
邹铮

相关推荐

  • Stuxnet多年之后:Windows Shell漏洞仍然肆虐

    Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。

  • 微软6月补丁日发布更多面向Windows XP的补丁

    微软在2017年6月份周二的补丁发布日提供了全新的Windows XP修复程序,以确保系统免受泄漏的NSA网络武器(如勒索软件WannaCry)的威胁。

  • 从WannaCry事件吸取教训:补丁管理需自动化

    更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率,符合合规要求,企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化,有助于保护企业基础架构和终端设备免受可能的安全威胁,并支持在线修复软件bug及增强功能……

  • 微软改良“周二补丁日”,新的‘安全更新指南’毁誉参半

    微软在2017年4月份周二补丁日发布中,正式放弃了原有的为安全专业人士所熟悉的安全公告格式,而支持新的“安全更新指南”,不过,该变化的进行也并非一帆风顺。