The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.04.2016 12:41  Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика

Исследователи безопасности из компании Cisco Systems предупредили, что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam, шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем.

На многих поражённых системах используется библиотечное ПО Destiny, через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.

Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".

В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss, предназначенная для тестирования незакрытых уязвимостей в JBoss.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  3. OpenNews: Компания Red Hat представила проект WildFly, пришедший на замену серверу приложений JBoss
  4. OpenNews: Обнаружен червь, эксплуатирующий исправленную год назад уязвимость в JBoss
  5. OpenNews: Выявлено второе вредоносное ПО, шифрующее файлы в Linux
  6. OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: jboss
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, neon1ks, 12:47, 17/04/2016 [ответить] [смотреть все]
  • +/
    Типа успели? И хардкорда не будет?
     
  • 1.2, бедный буратино, 12:49, 17/04/2016 [ответить] [смотреть все]
  • +/
    Из этой новости я узнал, что под виндой есть уязвимости. Вот никогда бы не подумал.
     
     
  • 2.3, Аноним, 12:54, 17/04/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +32 +/
    А я узнал, что существуют сервера под Windows.
     
     
  • 3.36, ., 00:12, 18/04/2016 [^] [ответить] [смотреть все]
  • +/
    IDC утверждают что 45 рынка ну и кому верить А никому Никому верить нель... весь текст скрыт [показать]
     
  • 3.40, Celcion, 08:03, 18/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Евгений Ваганович, перелогиньтесь ... весь текст скрыт [показать]
     
  • 1.4, tehnikpc, 13:14, 17/04/2016 [ответить] [смотреть все]  
  • +8 +/
    > серверов JBoss, работающих на базе ОС Windows

    Windows не подходит для серверов.

     
     
  • 2.37, ., 00:15, 18/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    для дескторов тоже не подходит Однако ко же и там и там еЁ чуть более чем до мн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, Клыкастый, 15:27, 18/04/2016 [^] [ответить] [смотреть все]  
  • +/
    а шо делать если есть подходящий кактус и хороший маркеторог, миллионы мышей бу... весь текст скрыт [показать]
     
  • 2.47, Аноним, 13:01, 18/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если бы не подходилп не юзали бы Сказано же уязвимая версиия какой-то фигни , ... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 16:05, 17/04/2016 [ответить] [смотреть все]  
  • +/
    жаба на винде торчит в интернет, это какой-то пугающий кошмаром ужос Ужос, что ... весь текст скрыт [показать]
     
     
  • 2.28, Вареник, 20:39, 17/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    IT-к, запускающий боевой вебсервер мышкой - должен страдать Как и его нанимател... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Анонзо, 17:33, 17/04/2016 [ответить] [смотреть все]  
  • +/
    >>поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

    Нахрена это тут надо??

     
     
  • 2.24, neon1ks, 18:40, 17/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Для поднятия чувства собственной значимости)
     
     
  • 3.39, ., 00:19, 18/04/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы ржёте, а я знаю клиента кто попадает под этот расклад Вам не скажу, чтоб не... весь текст скрыт [показать]
     
     
  • 4.43, EuPhobos, 08:43, 18/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Гос учреждения, Сбербанк.. и т.д. и т.п. знаем.. не боимся.. привыкли..
     
     
  • 5.49, _, 16:10, 18/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну раз вы смелые Хороший такой кусище медицины Вплоть до историй болезне... весь текст скрыт [показать]
     
  • 1.31, ua9oas, 22:06, 17/04/2016 [ответить] [смотреть все]  
  • +/
    А на каком % тех серверов есть антивирусы и насколько они могут заделывать эту дыру в безопасности? (И а если файлы там из за той дыры в безопасности вдруг оказались зашифрованными, то найден ли способ их расшифровать?)
    И а на каком % тех серверов работает автоматический бэкап данных?
     
     
  • 2.42, Celcion, 08:09, 18/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если сервера стоят не у полных идиотов, то смотрящие в инет сервисы находятся, к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Michael Shigorin, 11:31, 18/04/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Знаете, всё-таки не сочетается ... весь текст скрыт [показать]
     
  • 2.45, Аноним, 09:51, 18/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ура! Миша Рыцаревъ вернулся!
     
  • 1.32, Аноним, 22:55, 17/04/2016 [ответить] [смотреть все]  
  • +/
    Кто бы сомневался Гoвнобосс, как и любой ынтерпрайз, можно держать только в офф... весь текст скрыт [показать]
     
  • 1.33, Аноним, 22:55, 17/04/2016 [ответить] [смотреть все]  
  • +/
    Где хавту?
     
  • 1.34, iZEN, 23:01, 17/04/2016 [ответить] [смотреть все]  
  • +1 +/
    Что с WildFly?
     
     
  • 2.35, max, 23:26, 17/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    JBoss Community Edition, or after 2014 know as WildFly releases of the JBoss A... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, EuPhobos, 08:45, 18/04/2016 [ответить] [смотреть все]  
  • +/
    Ну так призовите докторавеба.. Он жаждет, он рвётся, добрый доктор вебболит.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor