科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全遭JBoss漏洞破坏 23000台服务器“中招”

遭JBoss漏洞破坏 23000台服务器“中招”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

黑客利用曝光的JBoss管理界面和调用程序在服务器上安装Web Shells。 攻击者正积极利用一个已知漏洞破坏JBoss Java EE应用服务器,这些应用服务器以非安全方式向互联网曝露了HTTP调用服务。

来源:ZDNet安全频道 2013年11月20日

关键字: JBoss 漏洞 服务器 热点追踪

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 11月20日 综合消息: 攻击者正积极利用一个已知漏洞破坏JBoss Java EE应用服务器,这些应用服务器以非安全方式向互联网曝露了HTTP调用服务。

遭JBoss漏洞破坏 23000台服务器“中招”十月初,安全研究员Andrea MIcalizzi在多家厂商(包括惠普,McAfee,赛门铁克和IBM)使用4.X和5.X JBoss的产品中发现了一个漏洞并将之发布。黑客可以利用该漏洞(CVE-2013-4810)在曝露了EJBInvokerServlet或JMXInvokerServlet上JBoss部署上安装一个任意应用。

 遭JBoss漏洞破坏 23000台服务器“中招”

Micalizzi利用该漏洞安装了一个名改为pwn.jsp的Web Shell应用,该应用可通过HTTP请求在操作系统上执行Shell命令。可以通过OS的用户身份许可从而运行JBoss,而在一些JBoss部署案例中,甚至可以拥有较高的权限,如管理员。

来自安全公司Imperva的研究员最近检测到针对JBoss服务器的攻击有所增加,这些攻击利用Micalizzi所说的漏洞安装了原始的pwn.jsp shell,不仅如此还有更复杂的名为JspSpy的 Web Shell。

在JBoss服务器上运行的200多个站点,包括那些隶属于政府和大学的站点,都被这些Web Shell应用入侵和感染,Imperva安全策略总监Barry Shteiman说。

实际情况更为严重,因为Micalizzi所说的漏洞源自不安全的默认配置,这些配置使得JBoss管理界面和调用程序暴露在未经验证的攻击之下,这一问题已经存在多年了。

2011年,在一份关于JBoss因安装不当被黑的报告中,Matasano Security的安全研究员在谷歌搜索的基础上估计约有7300台有潜在漏洞服务器。

据Shteiman透露,管理界面暴露到互联网的JBoss数量翻了三倍,达到了23000。

这种增长的原因之一或许是人们完全了解与此问题相关的风险,不过却一直以不安全的方式部署安装JBoss,Shteiman说。而且,有些厂商推出产品的时候,本身就使用了不安全的JBoss配置,如不能抵挡Micalizzi漏洞利用的产品,他说。

存在CVE-2013-4810漏洞的产品包括McAfee Web Reporter 5.2.1,惠普ProCurve Manager 3.20和4.0,惠普PCM+ 3.20和4.0,惠普 Identity Driven Manager 4.0,Symantec Workspace Streaming 7.5.0.493和IBM TRIRiGA。 还未发现有其他厂商的产品上有此漏洞。

遭JBoss漏洞破坏 23000台服务器“中招”JBoss由Red Hat开发,最近更名为WildFly。最新的版本是7.1.1,不过据Shteiman透露,许多企业因兼容性的问题而仍使用JBoss 4.X和5.X版本,因为他们要运行的应用是为旧版的JBoss而研发。

遭JBoss漏洞破坏 23000台服务器“中招”这些企业应该到JBoss社区网站查询确保JBoss的安全安装。

IBM也对此漏洞做出响应,提供了安全安装JMX Console和EJBInvoker的信息。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章