forum.opennet.ru

Составление сообщения

Исходное сообщение

"Трём миллионам уязвимых JBoss-серверов угрожает атака вредон..."
Отправлено opennews, 17-Апр-16 12:47

Исследователи безопасности из компании Cisco Systems предупредили (http://blog.talosintel.com/2016/04/jboss-backdoor.html), что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam (http://blog.talosintel.com/2016/03/samsam-ransomware.html), шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем.

На многих поражённых системах используется библиотечное ПО Destiny (http://www.follettlearning.com/webapp/wcs/stores/servlet/en/...?), через которое организован доступ учащихся  и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.

Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".
В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp,    jbossass_jsp.class,
shellinvoker.jsp,    shellinvoker_jsp.class,
mela.jsp,    mela_jsp.class,
zecmd.jsp,    zecmd_jsp.class,
cmd.jsp,    cmd_jsp.class,
wstats.jsp,    wstats_jsp.class,
idssvc.jsp,    idssvc_jsp.class,
iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss (https://github.com/joaomatosf/jexboss), предназначенная для тестирования  незакрытых уязвимостей в JBoss.

URL: http://arstechnica.com/security/2016/04/3-million-servers-ar.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44258

Исходное сообщение
"Трём миллионам уязвимых JBoss-серверов угрожает атака вредон..." Отправлено opennews, 17-Апр-16 12:47
Исследователи безопасности из компании Cisco Systems предупредили (http://blog.talosintel.com/2016/04/jboss-backdoor.html), что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam (http://blog.talosintel.com/2016/03/samsam-ransomware.html), шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows. В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем. На многих поражённых системах используется библиотечное ПО Destiny (http://www.follettlearning.com/webapp/wcs/stores/servlet/en/...?), через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки. Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot". В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss (https://github.com/joaomatosf/jexboss), предназначенная для тестирования незакрытых уязвимостей в JBoss. URL: http://arstechnica.com/security/2016/04/3-million-servers-ar.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=44258

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи безопасности из компании Cisco Systems предупредили (http://blog.talosintel.com/2016/04/jboss-backdoor.html), 
> что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые 
> потенциально могут стать объектами вредоносного ПО SamSam (http://blog.talosintel.com/2016/03/samsam-ransomware.html), 
> шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, 
> использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря 
> на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего 
> с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает 
> только поражение серверов JBoss, работающих на базе ОС Windows.

> В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена 
> первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать 
> систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания 
> передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после 
> накопления большой порции контролируемых систем.

> На многих поражённых системах используется библиотечное ПО Destiny (http://www.follettlearning.com/webapp/wcs/stores/servlet/en/fssmarketingstore/library-management-system?), 
> через которое организован доступ учащихся  и учителей к образовательным ресурсам 
> во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении 
> критической уязвимости, которая также могла быть использована для организации атаки.

> Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят 
> нескоординированный характер и совершаются разными группами. Например, для атаки применяются 
> семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, 
> такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", 
> "Inovkermngrt" и "jbot".

> В качестве признаков получения злоумышленниками контроля за системой упоминается появление 
> в системе сторонних файлов jbossass.jsp, jbossass_jsp.class, 
> shellinvoker.jsp, shellinvoker_jsp.class, 
> mela.jsp, mela_jsp.class, 
> zecmd.jsp, zecmd_jsp.class, 
> cmd.jsp, cmd_jsp.class, 
> wstats.jsp, wstats_jsp.class, 
> idssvc.jsp, idssvc_jsp.class, 
> iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита 
> jexboss (https://github.com/joaomatosf/jexboss), предназначенная для тестирования 
>  незакрытых уязвимостей в JBoss.

> URL: http://arstechnica.com/security/2016/04/3-million-servers-are-sitting-ducks-for-crypto-ransomware-infection/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=44258

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру