Hacker aktiv die Sicherheitslücke der JBoss Server beeinträchtigen, sagen Forscher

2013-12-30  |  Comebuy News

Angreifer nutzen aktiv eine bekannte Sicherheitslücke JBoss Java EE Application Servern gefährden, die den Dienst HTTP-Beschwörer im Internet auf unsichere Weise verfügbar zu machen.

Comebuy Verwandte Artikel: ExploitHub-räumt 'peinlich Aufsicht' zu HackCritical-Schwachstellen in single-Sign-on Enterprise-Tool Atlassian CrowdHackers ausnutzen, Ruby on Rails Anfälligkeit für Servern gefährden, BotnetHackers für Server mit Apache Struts-Anwendungen zu erstellen, Forscher SayWhistleblowing Seite Cryptome.org infiziert mit Drive-by-Exploits

Zu Beginn des Oktober-Sicherheit veröffentlicht Forscher Andrea Micalizzi Exploit für eine Schwachstelle, die er in Produkte verschiedener Hersteller, darunter Hewlett-Packard, McAfee, Symantec und IBM identifiziert, die JBoss 4.x und 5.x-Versionen zu verwenden. Diese Schwachstelle, verfolgt als CVE-2013-4810, kann nicht authentifizierter Angreifer eine willkürliche Anwendung auf JBoss-Bereitstellungen zu installieren, die die EJBInvokerServlet oder JMXInvokerServlet verfügbar zu machen.

Rhythmen der Exploit installiert eine Web-Shell-Anwendung namens pwn.jsp, die zum Ausführen von Shell-Kommandos auf dem Betriebssystem über HTTP-Anforderungen verwendet werden kann. Die Befehle werden ausgeführt, mit den Privilegien des OS Benutzers ausführt, JBoss, die bei manchen JBoss-Bereitstellungen ein hoch privilegierten, administrative Benutzer sein kann.

Wissenschaftler von Security Firma Imperva haben vor kurzem gefunden eine Steigerung bei Angriffen auf JBoss-Server, die Rhythmens Exploit verwendet, um die ursprüngliche pwn.jsp-Shell, sondern auch eine komplexe Web-Shell aufgerufen JspSpy installieren.

Über 200 Seiten auf JBoss-Server ausgeführt werden, einschließlich einige Regierungen gehören und Universitäten gehackt und mit dieser Shell-Webanwendungen infiziert wurden, sagte Barry Shteiman, Direktor der Sicherheitsstrategie bei Imperva.

Das Problem ist tatsächlich größer, da die Anfälligkeit von Rhythmen stammt aus unsicheren Standardkonfigurationen beschrieben, die JBoss-Verwaltungsschnittstellen und aufrufende Instanzen verfügbar gemacht für nicht authentifizierte Angriffe, ein Problem zu machen, die schon seit Jahren bekannt.

Eine 2011 Präsentation über die mehrere Möglichkeiten in die ungesicherte JBoss Anlagen angegriffen werden können, Sicherheitsexperten von Matasano Security geschätzt, basierend auf einer Google-Suche für bestimmte Zeichenfolgen, gab es rund 7.300 potentiell gefährdeten Server.

Nach Shteiman hat die Anzahl der JBoss-Server mit Schnittstellen zum Internet gemachten mehr als verdreifacht seit dann über 23.000 zu erreichen.

Ein Grund für diesen Anstieg wahrscheinlich ist, dass Menschen weiterhin unsichere JBoss-Installationen bereitstellen und Risiken im Zusammenhang mit diesem Thema, wenn es in der Vergangenheit diskutiert wurde nicht vollständig verstanden haben, sagte Shteiman. Auch einige Hersteller Produkte mit unsicheren JBoss-Konfigurationen, wie die Produkte, die anfällig für Rhythmens Exploit, Schiff, sagte er.

Produkte anfällig für CVE-2013-4810 umfassen McAfee Web Reporter 5.2.1, HP ProCurve Manager (PCM) 3.20 und 4.0, HP PCM + 3.20 und 4.0, HP Identity Driven Manager (IDM) 4.0, Symantec Workspace Streaming 7.5.0.493 und IBM TRIRIGA. Produkten anderer Hersteller, die noch nicht identifiziert haben könnten jedoch auch anfällig sein.

JBoss ist von Red Hat entwickelt und war vor kurzem in WildFly umbenannt. Ist die neueste stabile Version 7.1.1, aber nach Shteiman viele Unternehmen immer noch JBoss 4.x und 5.x aus Kompatibilitätsgründen als sie alte Anwendungen entwickelt für diese Versionen ausführen.

Diese Organisationen folgen sollten die Anweisungen zur Sicherung ihrer JBoss-Installations, die auf der JBoss Community-Website verfügbar sind, sagte er.

IBM stellte auch Informationen über das Sichern der JMX-Console und der EJBInvoker als Reaktion auf Rhythmens Exploit.

« Back