ワームによりパッチされていないJBossサーバーがボットネットに変換される

作者 Charles Humble , 翻訳者 福田 寅成 投稿日 2011年11月1日

セクション

運用/インフラ,

デベロップメント

トピック

JBoss ,

RedHat ,

アプリケーションサーバ ,

Java ,

言語 ,

プログラミング

共有 |

原文(投稿日：2011/10/28)へのリンク

2010年4月にパッチがあてられたJBossの脆弱性を突破する新しいワームはセキャアではないサーバーをターゲットにしており、それらをボットネットに追加しているとセキュリティ研究者がレポートしている。ワームは以前のJBossバージョン（4と5）に影響があり、バージョン6と7には影響はない。SANS Technology InstituteのJohannes Ullrich氏はJBossのより古い設定ではGETとPOSTリクエストのみで認証しており、他のHTTPリクエストタイプやインターフェースを保護しておらず、そのため攻撃者は認証無しに任意のコードを実行するために他のメソッドを利用する事が可能であると述べている。

Red Hat security responseのディレクターであるMark Cox氏はブログで以下のように述べている。

ワームは保護されていないJMXコンソールに接続する事により伝播し、JBossユーザとして任意のコードを実行するために任意のJMXコンソールを利用します。

意図的にセキュアで無いJBossサーバーにハニーポットを仕掛けたあるユーザーが報告している。

ペイロードは障害のあるホストをIRCサーバーに自動的に接続して、ボットネットの一部になるようにするPerlスクリプトが含まれており、DynDNS（Flu.pl）を用いてリモートアクセスツールをインストールし、実行しています。また、2つのWindowsバッチスクリプトも含まれており、一つはJBoss Servicesを探索するためのスクリプト（wstools.bat）であり、 もう一つはあるmcast addressJGroups上のすべてのUDPベースのメンバーを探索するための「JGroups Cluster Discovery Script for Win32」と呼ばれるスクリプト（probe.bat）です。また、JMXコンソールを起動するのを助けるPerlスクリプト（Linda.pl）も含まれています。

そのワームは少なくとも数日の間広がっており、何台のサーバーが影響を受け、どれが感染源であるかは今の所明らかになっていない。少なくとも、ユーザがサーバーとPC両方のシステムを最新にし続ける必要性があることが改めて浮かび上がってきた。問題を解決する更新はここからダウンロードできる。JMXコンソールを保護する方法はここで確認する事が出来る。