JBoss漏洞易于传播勒索软件,未打补丁的系统看着办

目前多达320万计算机运行着未打补丁版本的JBoss中间件软件,这意味着这些计算机很容易被用于传播SamSam和其他勒索软件,这也突出了一直存在的未打补丁系统的风险问题。在扫描包含JBoss漏洞的受感染机器后,思科Talos发现超过2100个后门程序被安装在关联近1600个IP地址的系统中。

Talos报告称,未打补丁的JBoss正在被一个或多个webshell利用,webshell是可上传到Web服务器并对该服务器进行远程管理的脚本。该报告表明,企业需要对修复生产软件非常警惕。

“在这个过程中,我们了解到在受影响的JBoss服务器中通常有不只一个webshell,”Talos威胁研究人员Alexander Chiu写道,“我们看到很多不同的后门程序,括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。这意味着很多这些系统已经由不同的攻击者进行多次攻击。”

其中受影响的企业包括学校、政府和航空企业等,有些受影响系统在运行Follett Destiny(这是追踪学校图书馆资产的管理系统,被用在全球各地的K-12学校)。Follett已经确定了这个问题,并发布了JBoss漏洞的修复程序,并且还与Talos合作来分析攻击者使用的webshell。

“Webshell是重大的安全问题,因为它表明攻击者已然攻击了该服务器,并可远程控制它,”Chiu写道,“并且,受影响的Web服务器可能被攻击者利用,以在内部网络横向移动。”

Talos建议企业尽快修复受影响的设备,首先应该移除对外部网络的访问以防止攻击者访问该系统,然后重新镜像该系统或者从备份中恢复,接着升级软件版本,再重新应用到生产环节。

根据Talos表示,最重要的是确保软件补丁及时更新。“攻击者在选择攻击目标时并不会排除旧系统,因为这可以帮助他们赚钱,”Cylance公司安全研究人员Derek Soeder表示,“特别是对于不加选择的攻击者,即便易受攻击的系统只有小部分暴露在互联网中,也值得他们发动攻击。”

根据威胁管理公司PhishMe研究人员Sean Wilson表示,Web框架特别容易受到攻击。

“我们已经看到攻击者使用webshell很长一段时间,通常瞄准WordPress和Joomla等Web框架,因为这些已经得到个人用户的广泛部署和使用,”Wilson表示,“它们有成熟的插件生态系统,可包含基本框架进行部署,也许不太容易受攻击,不过多个过期的插件就可能包含可被攻击者利用的漏洞。”

JexBoss webshell工具以及旧的JBoss漏洞

受影响的服务器中发现的webshell是JexBoss,这是用于测试和利用JBoss应用服务器中漏洞的开源工具。JexBoss可在GitHub找到,并具有渗透测试和审计等合法用途。Talos报告称,JexBoss被用于传播SamSam勒索软件变体。传统的勒索软件攻击是通过网络钓鱼或漏洞利用工具包来传播,而SamSam则是在服务器上获得立足点,然后在受害网络中横向传播。

JBoss是由Red Hat Software发布的中间件,JBoss的漏洞在2010年被发现并修复,被命名为CVE-2010-0738。Talos报告称这个漏洞仍然在被用于传播SamSam勒索软件。

专家们一致认为,大量易受攻击的系统表明企业需要定期修复已安装的软件。

“这些补丁于多年前发布,但IT专业人员和个人通常没有及时安装安全补丁,”数据保护公司Carbonite公司首席传播者Norman Guadagno表示,“在这种情况下,攻击者发现攻击教育IT系统的机会,但正如我们所看到的,这并不分行业。这也再次提醒我们为什么IT管理员需要重新审视其安全状态和政策。”

处理补丁问题

端点安全初创公司Barkly Protect首席执行官Jack Danahy表示:“补丁管理和保持系统更新并不容易。系统和应用之间存在复杂的依存关系,这让更新决策变得很困难。”JBoss漏洞让攻击者可攻击学校,但需要更新的应用是Follett的Destiny图书馆管理系统。如果系统管理员没有意识到Destiny依赖于JBoss,JBoss漏洞的存在可能不会让他们意识到更新其图书馆管理系统的紧迫性。

在这里,修复可能是关键,但对于资源有限的企业来说,这并不总是容易的事情。“资源匮乏的企业在规划项目成本时应该考虑一些未来的修复成本,”CASB网络安全研究主管Yishai Beeri表示,“定期修复可缓解很多长期存在的漏洞利用,最起码,应该优先修复面向公众的系统。”

“随着时间的推移,易受攻击系统的数量会越来越多,”Soeder说道,“有时候是由于疏忽,通常企业并不知道他们正在运行的所有系统,这有可能因为易受攻击的软件被嵌入到另一个产品中去。”Soeder解释说,软件未及时修复还有很多其他原因,包括系统管理员没有意识到他们运行的软件包含漏洞或者他们并没有从供应商处获得更新。

在一些情况下,管理员没有足够的资源来部署补丁,或者他们试图修复补丁时,补丁并未生效;“有时候这就像在修复后忘记重启,”Soeder称,“攻击者是机会主义者,而这些疏忽都是他们的机会。”

本文转自d1net(转载)

时间: 2024-09-09 00:21:41

JBoss漏洞易于传播勒索软件,未打补丁的系统看着办的相关文章

勒索软件用解密密钥鼓励受害者传播勒索软件

名叫 Popcorn Time 的新开发的勒索软件向受害者提供了一种不同寻常的获得免费解密密钥的方法:帮助传播勒索软件.当电脑感染Popcorn Time 之后,受害者有两种选择:支付1比特币--价值超过700美元,或者向其他人发送恶意链接,感染至少两名新受害者.此外,如果用户输错了4次解密密钥,勒索软件将会开始删除文件. 该勒索软件与流视频播放 Popcorn Time 无关,只是借用了名字.它的恶意链接主要是通过Tor网络传播,没有安装Tor的用户不会被感染.该勒索软件仍然在开发之中,目前还

93%的钓鱼邮件旨在传播勒索软件

安全公司的最新数据显示,钓鱼邮件现在主要不是为了窃取用户信息,而是传播勒索软件勒索受害者.钓鱼邮件中的勒索软件比率已经从去年12月的56%增加到今年3月的93%.导致这一趋势的原因是勒索软件越来越容易发送,攻击者能更快的获取投资回报. 其它基于钓鱼邮件的网络攻击需要更多的时间才能获利.举例来说,窃取到的信用卡号码必须在信用卡被取消前出售和使用,窃取到的身份信息获得回报需要更多的时间.本文转自d1net(转载)

游戏安全资讯精选 2017年第十三期 Typecho前台无限制Getshell漏洞预警,勒索软件市场正在呈爆炸式增长

[本周游戏行业DDoS攻击态势] 据阿里云DDoS监控中心数据显示,近期DDoS 攻击增加明显,主要攻击目标是游戏和线上推广行业的厂商.请请相关的用户做好DDoS 攻击的防护措施. [游戏行业安全动态] Recorded Future称美国在漏洞报告方面落后中国:<The Dragon Is Winning:Lags Behind Chinese Vulnerability Reporting> 点击查看原文 概要:美国国家漏洞库(NVD)中国国家漏洞库(CNNVD)的漏洞首次披露时间对比:美

UEFI漏洞可被用于安装底层勒索软件

本文讲的是 UEFI漏洞可被用于安装底层勒索软件,研究团队利用技嘉BRIX迷你PC固件中的2个漏洞演示底层勒索软件 过去几年,勒索软件威胁从存在于浏览器中,发展到了进驻操作系统,再侵入到了引导加载程序.如今,直接深入到了驱动计算机硬件组件的底层固件. 今年年初,安全厂商Cylance的研究团队,演示了存在于主板统一可扩展固件接口(UEFI),即现代BIOS中的概念验证勒索软件程序. 黑帽亚洲安全大会上,该团队揭示了他们的做法:利用台湾计算机制造商技嘉科技出品的两台超袖珍PC所用固件中的漏洞. 这

进化:勒索软件的前世今生

2005年起,勒索软件便成为了最普遍的网络威胁.公开信息统计,过去11年来,勒索软件感染数量比数据泄露事件数量还多,分别是7694件和6013起. 勒索软件一直以来走的是两种不同的技术路线:加密和锁定.基于加密的勒索软件是真的加密受害者的文件.目录.硬盘等等.而基于锁定的勒索软件则只是锁定设备,让用户无法登录,常见于安卓系统中. 新一代勒索软件融合了高级分发与开发技术,比如预置基础设施以便简单而广泛地分发新变种,利用加壳器确保难以逆向等等.另外,离线加密方法也越来越多地被勒索软件加以利用,比如微

揭开勒索软件的真面目

一.前言 2013年9月,戴尔公司的SecureWorks威胁应对部门(CTU)发现了一种名为"CryptoLocker"的勒索软件,它以邮件附件形式分发,感染计算机并加密近百种格式文件(包括电子表格.数据库.图片等),向用户勒索300美元或300欧元.据统计,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统.[1] 2014年8月,<纽约时报>报道了这样一则消息:一种名为"ScarePackage"的勒索软件在一个月的时间内感染了约90

赛门铁克揭示首个针对Mac OS X操作系统的勒索软件

KeRanger:使用被感染的BitTorrent安装程序传播勒索软件,对Mac OS X电脑中的文件进行恶意加密 近日,行业中发现首个目标攻击Mac OS X操作系统的恶意软件KeRanger.KeRanger (OSX.Keranger)通过已经遭受感染的Transmission BitTorrent客户端的安装程序快速进行传播.在 2016年3月4日和5日下载Transmission的Mac OS X用户有可能面临该恶意软件的威胁. 虽然KeRanger是针对Mac OS X操作系统而设计

解读全球最严重的5起勒索软件攻击

本文讲的是解读全球最严重的5起勒索软件攻击, 在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了. 所谓勒索软件其实就是一种恶意软件,可以感染设备.网络与数据中心并使其瘫痪,直至用户或机构支付赎金使系统解锁.勒索软件至少从1989年起就已经存在,当时的"PC Cyborg"木马对硬盘上的文件名进行加密并要求用户支付189美元才能解锁. 到了00年代中期,勒索软件已经逐渐发展成为最普遍的一种网络威胁形式.其中Archievus成为第一个使用RSA加密技术的勒索

勒索软件来袭考验全球网络安防

名为"想哭"的勒索软件自12日起大规模入侵全球电脑网络,波及超过100个国家和地区,堪称一场科技恐怖袭击.多个国家的重要信息网络受到袭击,凸显出各国在防范和应对此类"科技恐袭"方面尚缺乏经验,网络安全防范仍待提升和完善.此次事件中,中国部分高校.派出所.加油站等重要信息系统在内的多类用户也受到冲击,其中的教训令人警醒. 袭击规模史无前例 全球多个国家12日起遭受一种勒索软件的攻击.这款病毒名为"想哭",属于一种勒索软件. 据悉,电脑被这种勒索软件