Исследователи безопасности из компании Cisco Systems предупредили (http://blog.talosintel.com/2016/04/jboss-backdoor.html), что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam (http://blog.talosintel.com/2016/03/samsam-ransomware.html), шифрующего файлы и требующего заплатить деньги за расшифровку. Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.
В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем.
На многих поражённых системах используется библиотечное ПО Destiny (http://www.follettlearning.com/webapp/wcs/stores/servlet/en/...?), через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.
Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".
В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class,
shellinvoker.jsp, shellinvoker_jsp.class,
mela.jsp, mela_jsp.class,
zecmd.jsp, zecmd_jsp.class,
cmd.jsp, cmd_jsp.class,
wstats.jsp, wstats_jsp.class,
idssvc.jsp, idssvc_jsp.class,
iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss (https://github.com/joaomatosf/jexboss), предназначенная для тестирования незакрытых уязвимостей в JBoss.
URL: http://arstechnica.com/security/2016/04/3-million-servers-ar.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44258