The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.04.2016 12:41  Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика

Исследователи безопасности из компании Cisco Systems предупредили, что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam, шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем.

На многих поражённых системах используется библиотечное ПО Destiny, через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.

Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".

В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss, предназначенная для тестирования незакрытых уязвимостей в JBoss.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  3. OpenNews: Компания Red Hat представила проект WildFly, пришедший на замену серверу приложений JBoss
  4. OpenNews: Обнаружен червь, эксплуатирующий исправленную год назад уязвимость в JBoss
  5. OpenNews: Выявлено второе вредоносное ПО, шифрующее файлы в Linux
  6. OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: jboss
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, neon1ks (ok), 12:47, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Типа успели? И хардкорда не будет?
     
  • 1.2, бедный буратино (ok), 12:49, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Из этой новости я узнал, что под виндой есть уязвимости. Вот никогда бы не подумал.
     
     
  • 2.3, Аноним (-), 12:54, 17/04/2016 [^] [ответить]    [к модератору]
  • +32 +/
    А я узнал, что существуют сервера под Windows.
     
     
  • 3.36, . (?), 00:12, 18/04/2016 [^] [ответить]    [к модератору]
  • +/
    IDC утверждают что 45% рынка ... ну и кому верить?!
    А никому! Никому верить нельзя!
    Мне - можно ... (С)
     
  • 3.40, Celcion (ok), 08:03, 18/04/2016 [^] [ответить]    [к модератору]
  • +/
    > А я узнал, что существуют сервера под Windows.

    Евгений Ваганович, перелогиньтесь.

     
  • 1.4, tehnikpc (ok), 13:14, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    > серверов JBoss, работающих на базе ОС Windows

    Windows не подходит для серверов.

     
     
  • 2.37, . (?), 00:15, 18/04/2016 [^] [ответить]    [к модератору]  
  • +/
    для дескторов тоже не подходит. Однако ко же и там и там еЁ чуть более чем до много :-\
     
     
  • 3.48, Клыкастый (ok), 15:27, 18/04/2016 [^] [ответить]    [к модератору]  
  • +/
    а шо делать? если есть подходящий кактус и хороший маркеторог, миллионы мышей будут плакать, колоться и грызть.
     
  • 2.47, Аноним (-), 13:01, 18/04/2016 [^] [ответить]    [к модератору]  
  • +/
    Если бы не подходилп не юзали бы. Сказано же уязвимая версиия "какой-то фигни", а виндоуст только потому, что удобнее и привычнее трояны клепать, но при желании...
     
  • 1.15, Аноним (-), 16:05, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    жаба на винде торчит в интернет, это какой-то пугающий кошмаром ужос. Ужос, что информационными технологиями занимаются слабоумные.
     
     
  • 2.28, Вареник (?), 20:39, 17/04/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    IT-к, запускающий боевой вебсервер мышкой - должен страдать Как и его нанимател... весь текст скрыт [показать]
     
  • 1.20, Анонзо (?), 17:33, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >>поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

    Нахрена это тут надо??

     
     
  • 2.24, neon1ks (ok), 18:40, 17/04/2016 [^] [ответить]    [к модератору]  
  • +/
    Для поднятия чувства собственной значимости)
     
     
  • 3.39, . (?), 00:19, 18/04/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Вы ржёте, а я знаю клиента кто попадает под этот расклад.
    Вам не скажу, чтоб не пугать, но это полный ППЦ. Отправил им по старой памяти нотис, чё делать будут ума не приложу :-\
     
     
  • 4.43, EuPhobos (ok), 08:43, 18/04/2016 [^] [ответить]    [к модератору]  
  • +/
    Гос учреждения, Сбербанк.. и т.д. и т.п. знаем.. не боимся.. привыкли..
     
     
  • 5.49, _ (??), 16:10, 18/04/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну раз вы смелые :) ... Хороший такой кусище медицины. Вплоть до историй болезней и страховых кейсов.
     
  • 1.31, ua9oas (ok), 22:06, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А на каком % тех серверов есть антивирусы и насколько они могут заделывать эту дыру в безопасности? (И а если файлы там из за той дыры в безопасности вдруг оказались зашифрованными, то найден ли способ их расшифровать?)
    И а на каком % тех серверов работает автоматический бэкап данных?
     
     
  • 2.42, Celcion (ok), 08:09, 18/04/2016 [^] [ответить]     [к модератору]  
  • +/
    Если сервера стоят не у полных идиотов, то смотрящие в инет сервисы находятся, к... весь текст скрыт [показать]
     
     
  • 3.46, Michael Shigorin (ok), 11:31, 18/04/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Если сервера стоят не у полных идиотов [...] антивирус, разумеется, есть

    Знаете, всё-таки не сочетается.

     
  • 2.45, Аноним (-), 09:51, 18/04/2016 [^] [ответить]    [к модератору]  
  • +/
    ура! Миша Рыцаревъ вернулся!
     
  • 1.32, Аноним (-), 22:55, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кто бы сомневался. Гoвнобосс, как и любой ынтерпрайз, можно держать только в оффлайне.
     
  • 1.33, Аноним (-), 22:55, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Где хавту?
     
  • 1.34, iZEN (ok), 23:01, 17/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Что с WildFly?
     
     
  • 2.35, max (??), 23:26, 17/04/2016 [^] [ответить]     [к модератору]  
  • +/
    JBoss Community Edition, or after 2014 know as WildFly releases of the JBoss A... весь текст скрыт [показать]
     
  • 1.44, EuPhobos (ok), 08:45, 18/04/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну так призовите докторавеба.. Он жаждет, он рвётся, добрый доктор вебболит.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor