JBoss漏洞易于传播勒索软件，未打补丁的系统看着办

目前多达320万计算机运行着未打补丁版本的JBoss中间件软件，这意味着这些计算机很容易被用于传播SamSam和其他勒索软件，这也突出了一直存在的未打补丁系统的风险问题。在扫描包含JBoss漏洞的受感染机器后，思科Talos发现超过2100个后门程序被安装在关联近1600个IP地址的系统中。

Talos报告称，未打补丁的JBoss正在被一个或多个webshell利用，webshell是可上传到Web服务器并对该服务器进行远程管理的脚本。该报告表明，企业需要对修复生产软件非常警惕。

“在这个过程中，我们了解到在受影响的JBoss服务器中通常有不只一个webshell，”Talos威胁研究人员Alexander Chiu写道，“我们看到很多不同的后门程序，括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。这意味着很多这些系统已经由不同的攻击者进行多次攻击。”

其中受影响的企业包括学校、政府和航空企业等，有些受影响系统在运行Follett Destiny（这是追踪学校图书馆资产的管理系统，被用在全球各地的K-12学校）。Follett已经确定了这个问题，并发布了JBoss漏洞的修复程序，并且还与Talos合作来分析攻击者使用的webshell。

“Webshell是重大的安全问题，因为它表明攻击者已然攻击了该服务器，并可远程控制它，”Chiu写道，“并且，受影响的Web服务器可能被攻击者利用，以在内部网络横向移动。”

Talos建议企业尽快修复受影响的设备，首先应该移除对外部网络的访问以防止攻击者访问该系统，然后重新镜像该系统或者从备份中恢复，接着升级软件版本，再重新应用到生产环节。

根据Talos表示，最重要的是确保软件补丁及时更新。“攻击者在选择攻击目标时并不会排除旧系统，因为这可以帮助他们赚钱，”Cylance公司安全研究人员Derek Soeder表示，“特别是对于不加选择的攻击者，即便易受攻击的系统只有小部分暴露在互联网中，也值得他们发动攻击。”

根据威胁管理公司PhishMe研究人员Sean Wilson表示，Web框架特别容易受到攻击。

“我们已经看到攻击者使用webshell很长一段时间，通常瞄准WordPress和Joomla等Web框架，因为这些已经得到个人用户的广泛部署和使用，”Wilson表示，“它们有成熟的插件生态系统，可包含基本框架进行部署，也许不太容易受攻击，不过多个过期的插件就可能包含可被攻击者利用的漏洞。”

JexBoss webshell工具以及旧的JBoss漏洞

受影响的服务器中发现的webshell是JexBoss，这是用于测试和利用JBoss应用服务器中漏洞的开源工具。JexBoss可在GitHub找到，并具有渗透测试和审计等合法用途。Talos报告称，JexBoss被用于传播SamSam勒索软件变体。传统的勒索软件攻击是通过网络钓鱼或漏洞利用工具包来传播，而SamSam则是在服务器上获得立足点，然后在受害网络中横向传播。

JBoss是由Red Hat Software发布的中间件，JBoss的漏洞在2010年被发现并修复，被命名为CVE-2010-0738。Talos报告称这个漏洞仍然在被用于传播SamSam勒索软件。

专家们一致认为，大量易受攻击的系统表明企业需要定期修复已安装的软件。

“这些补丁于多年前发布，但IT专业人员和个人通常没有及时安装安全补丁，”数据保护公司Carbonite公司首席传播者Norman Guadagno表示，“在这种情况下，攻击者发现攻击教育IT系统的机会，但正如我们所看到的，这并不分行业。这也再次提醒我们为什么IT管理员需要重新审视其安全状态和政策。”

处理补丁问题

端点安全初创公司Barkly Protect首席执行官Jack Danahy表示：“补丁管理和保持系统更新并不容易。系统和应用之间存在复杂的依存关系，这让更新决策变得很困难。”JBoss漏洞让攻击者可攻击学校，但需要更新的应用是Follett的Destiny图书馆管理系统。如果系统管理员没有意识到Destiny依赖于JBoss，JBoss漏洞的存在可能不会让他们意识到更新其图书馆管理系统的紧迫性。

在这里，修复可能是关键，但对于资源有限的企业来说，这并不总是容易的事情。“资源匮乏的企业在规划项目成本时应该考虑一些未来的修复成本，”CASB网络安全研究主管Yishai Beeri表示，“定期修复可缓解很多长期存在的漏洞利用，最起码，应该优先修复面向公众的系统。”

“随着时间的推移，易受攻击系统的数量会越来越多，”Soeder说道，“有时候是由于疏忽，通常企业并不知道他们正在运行的所有系统，这有可能因为易受攻击的软件被嵌入到另一个产品中去。”Soeder解释说，软件未及时修复还有很多其他原因，包括系统管理员没有意识到他们运行的软件包含漏洞或者他们并没有从供应商处获得更新。

在一些情况下，管理员没有足够的资源来部署补丁，或者他们试图修复补丁时，补丁并未生效；“有时候这就像在修复后忘记重启，”Soeder称，“攻击者是机会主义者，而这些疏忽都是他们的机会。”

本文转自d1net（转载）