Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados.
JBoss Application Server es un servidor de aplicaciones J2EE que actualmente va por su versión 7. Se distribuye bajo licencia GPL por lo que es muy utilizado tanto por parte de los desarrolladores como por las empresas.
Se ha detectado un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función ‘store’ del servicio ‘jboss.admin’ de la forma siguiente:
También se aprovecha de sistemas más antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010
El octubre pasado, el investigador de seguridad, Andrea Micalizzi hizo público un exploit para una vulnerabilidad en JBoss Application Server (AS), el servidor de aplicaciones de código abierto basado en Java EE. Poco después, los ciberdelincuentes comenzaron explotando activamente este fallo.
Imperva advierte de un aumento en los ataques aprovechando el agujero de seguridad. Los expertos creen que esto es probablemente un resultado directo de la divulgación de Micalizzi.
La vulnerabilidad puede ser aprovechada por los ciberdelincuentes para distribuir una funcionalidad adicional en el servidor web objetivo abusando de la interfaz de gestión. Esto les permite tomar el control completo sobre el sitio web proporcionado por la vulnerable JBoss AS. Vale la pena señalar que el agujero de seguridad no es nueva. Su existencia fue revelada por primera vez en 2011, cuando los investigadores demostraron que el servicio invocador HTTP que proporciona invocación de método remoto y el acceso HTTP a Enterprise Java Beans podría ser explotada para ataques de ejecución remota de código. Sin embargo, ya que muchos administradores no han podido configurar correctamente sus servidores , los ciberdelincuentes siguen abusando de ella. De hecho, parece que ahora tienen una base potencial de víctimas mucho mayor que la que tenían en 2011. Según Imperva, el número de servidores JBoss cuya interfaz de gestión se expone ha pasado de 7.000 a 23.000 desde 2011. La lista de víctimas incluye sitios web del gobierno y de las organizaciones educativas. Aunque en muchos de los ataques de los ciberdelincuentes utilizan el código shell pwn.js para controlar el sitio secuestrado, en algunos casos, los atacantes utilizaron JspSpy. JspSpy es mucho más eficiente, ya que tiene una interfaz de usuario enriquecida que permite los atacantes para examinar archivos y bases de datos fácilmente. detalles técnicos adicionales sobre la forma en que los exploits JBoss AS obras se pueden encontrar en el blog de Imperva.
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias