Информационные технологииStfw.Ru 🔍

Обнаружен червь эксплуатирующий уязвимость в JBoss

В сети зафиксирован червь, который поражает серверы с необновлёнными версиями JBoss, до сих пор подверженными уязвимости, или системы с незащищённым доступом к консоли JMX.
🕛 28.10.2011, 04:33
После получения управления, червь размещает на сервере компоненты, подсоединяющие поражённый хост к ботнету и позволяющие получить полное управление над сервером из любой точки сети. Создав подставной уязвимый JBoss-сервер исследователи выявили интеграцию бэкдора на языке Java, загрузку контента, связанного с совершением вредоносных действий, и установку perl-скрипта, принимающего управляющие команды через соединение к IRC-серверу, через который производится координация работы ботнета. Кроме того, на сервер устанавливается клиент для организации удалённого доступа, а также несколько скриптов для обнаружения других уязвимых серверов JBoss и для поиска уже поражённых хостов, на которые осуществлено внедрение червя.

Активность червя наблюдается как минимум последнюю неделю. Пока не ясно как много серверов скомпрометировано в результате работы червя и в чьих интересах работает созданный на его основе ботнет. Появление червя поднимает проблему недостаточного акцентирования внимания на установку обновлений в корпоративной среде. Всем пользователям JBoss Application Server рекомендуется проверить работу систем установки обновлений и убедиться в надлежащем закрытии доступа к управляющей консоли JMX.

В дополнение, можно упомянуть исследование способов распространения вредоносных программ, проведенное несколько недель назад компанией Microsoft. Исследование показало, что 3.2% всех заражений происходит через эксплуатацию уязвимостей, исправление для которых было выпущено больше года назад, 2.4% через проблемы с момента исправления которых прошло менее года и только 0.096% через неисправленные уязвимости (zero-day). Среди других способов распространения: в 44.8% случаях вредоносное ПО распространяется, требуя от пользователя выполнения определённых действий; 26% через автозапуск с USB-накопителей; 17.2% через автозапуск по сети; 4.4% через инфицирование файлов; 1.7% через подбор паролей.

Новости безопасности   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉