BT

InfoQ ホームページ ニュース ワームによりパッチされていないJBossサーバーがボットネットに変換される

ワームによりパッチされていないJBossサーバーがボットネットに変換される

ブックマーク

原文(投稿日:2011/10/28)へのリンク

2010年4月にパッチがあてられたJBossの脆弱性を突破する新しいワームはセキャアではないサーバーをターゲットにしており、それらをボットネットに追加しているとセキュリティ研究者がレポートしている。ワームは以前のJBossバージョン(4と5)に影響があり、バージョン6と7には影響はない。SANS Technology InstituteのJohannes Ullrich氏はJBossのより古い設定ではGETとPOSTリクエストのみで認証しており、他のHTTPリクエストタイプやインターフェースを保護しておらず、そのため攻撃者は認証無しに任意のコードを実行するために他のメソッドを利用する事が可能であると述べている

Red Hat security responseのディレクターであるMark Cox氏はブログで以下のように述べている。

ワームは保護されていないJMXコンソールに接続する事により伝播し、JBossユーザとして任意のコードを実行するために任意のJMXコンソールを利用します。

意図的にセキュアで無いJBossサーバーにハニーポットを仕掛けたあるユーザーが報告している

ペイロードは障害のあるホストをIRCサーバーに自動的に接続して、ボットネットの一部になるようにするPerlスクリプトが含まれており、DynDNS(Flu.pl)を用いてリモートアクセスツールをインストールし、実行しています。また、2つのWindowsバッチスクリプトも含まれており、一つはJBoss Servicesを探索するためのスクリプト(wstools.bat)であり、 もう一つはあるmcast addressJGroups上のすべてのUDPベースのメンバーを探索するための「JGroups Cluster Discovery Script for Win32」と呼ばれるスクリプト(probe.bat)です。また、JMXコンソールを起動するのを助けるPerlスクリプト(Linda.pl)も含まれています。

そのワームは少なくとも数日の間広がっており、何台のサーバーが影響を受け、どれが感染源であるかは今の所明らかになっていない。少なくとも、ユーザがサーバーとPC両方のシステムを最新にし続ける必要性があることが改めて浮かび上がってきた。問題を解決する更新はここからダウンロードできる。JMXコンソールを保護する方法はここで確認する事が出来る。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。